一名加密货币用户在一次大规模链上漏洞攻击中遭遇地址投毒骗局,损失了价值 5000 万美元的USDT 。
Web3 安全公司 Web3 Antivirus 发现了这起盗窃案。该案发生在用户发送了一笔 50 美元的测试交易以确认收款地址后,然后再转账剩余款项。
如何在不到一小时内损失 5000 万美元?这是我们近期见过的最大链上诈骗损失之一。
— Web3 Antivirus (@web3_antivirus) 2025年12月19日
一名受害者在2024年11月120230日因地址投毒诈骗损失了5000万美元。这笔钱在不到1小时前才刚刚到账。
用户首先向正确的地址发送了一笔小额测试交易。几分钟后…… pic.twitter.com/Umsr8oTcXC
几分钟之内,骗子就创建了一个与目标地址非常相似的钱包地址,首尾字符都匹配,因为他们知道大多数钱包都会缩写地址,只显示前缀和后缀。
骗子随后向受害者发送了一小笔“灰尘”金额,以污染其交易记录。受害者似乎相信收款地址合法且输入正确,便从交易记录中复制了该地址,最终向骗子的地址发送了 49,999,950 美元USDT 。
这些小额交易通常会发送到持有大量资金的地址,污染交易记录,试图诱使用户因复制粘贴错误而上当受骗,例如本例中的错误。执行这些交易的机器人会广泛撒网,希望能够成功,而它们在本例中也确实得逞了。
区块链数据显示,被盗资金随后被兑换成价值2,977.70 美元的以太ETH ) ,并在多个钱包之间转移。一些涉案地址之后还与官方认可的加密货币混合器 Tornado Cash 进行过交互,试图掩盖交易痕迹。
作为回应,受害者在链上发布了一条消息,要求在48小时内归还98%的被盗资金。该消息还附带法律威胁,并承诺如果攻击者全额归还资产,将支付100万美元的白帽赏金。
该信息警告称,不遵守规定将引发法律诉讼和刑事指控。
受害者在信息中写道:“这是你和平解决此事的最后机会。如果你不配合,我们将通过国际法律途径将此事诉诸法律。”
地址投毒攻击并没有利用代码或密码学中的任何漏洞,而是利用了用户的习惯,即依赖部分地址匹配和从交易历史记录中复制粘贴。
