社区
融资信息
专题
链上生态
词条
播客
活动
5000万美元天价「学费」,地址投毒为何屡屡得手?
原文标题:《5000 万美元被盗,只因没仔细核对地址》
原文作者:Eric,Foresight News
北京时间昨日凌晨,X 名为 Specter 的链上分析师发现了一起因为没有仔细检查转账地址而导致近 5000 万枚 USDT 被转入黑客地址的案件。
据笔者查证,该地址(0xcB80784ef74C98A89b6Ab8D96ebE890859600819)于北京时间 19 日 13 时左右从 Binance 提出 50 枚 USDT 进行了大额提币前的测试。
大约 10 小时之后,该地址从 Binance 一次性提出了 49,999,950 枚 USDT,加上之前提出的 50 USDT,总计正好 5000 万。
大约 20 分钟之后,收到 5000 万枚 USDT 的地址就先向 0xbaf4…95F8b5 转入 50 枚 USDT 用于测试。
就在测试转账完成后的不到 15 分钟时间,黑客地址 0xbaff…08f8b5,就向剩下 49,999,950 枚 USDT 的地址转入 0.005 枚 USDT。黑客使用的地址与接收 50 枚 USDT 的地址开头结尾都很相似,是一次明显的「地址投毒」攻击。
10 分钟之后,当 0xcB80 开头地址准备将剩下的 4000 多万枚 USDT 转走时,可能是疏忽之下复制了上一笔交易,也就是黑客进行「投毒」的地址,直接把将近 5000 万枚 USDT 送到了黑客的手上。
眼见 5000 万美元到手,黑客在 30 分钟后就开始了洗钱动作。据慢雾监测,黑客先通过 MetaMask 将 USDT 交易为 DAI,再使用全部的 DAI 买入约 16690 枚以太坊,留下 10 ETH 后剩余的以太坊全部转入 Tornado Cash。
北京时间昨日 16:00 左右,受害者在链上对黑客喊话称已正式提起刑事诉讼,并已在执法部门、网络安全机构和多个区块链协议的协助下收集到大量关于该黑客活动的可靠情报。失主表示黑客可以留下 100 万美元,并将剩余 98% 的资金归还,如果黑客照做则不再追究;如果不配合就将通过法律途径追究黑客的刑事和民事责任,并将公开黑客身份。但截至目前,黑客还没有任何动静。
据 Arkham 平台整理的数据,该地址与 Binance、Kraken、Coinhako、Cobo 地址均有大额转账记录。Binance、Kraken 和 Cobo 无需介绍,而 Coinhako 可能是一个相对陌生的名字。Coinhako 是一家成立于 2014 年的新加坡本地加密货币交易平台,于 2022 年获得新加坡金融管理局颁发的大型支付机构牌照,属于新加坡受监管的交易平台。
鉴于该地址使用多地交易平台以及 Cobo 托管服务,以及在案发 24 小时内就迅速联系各方完成了对黑客的追踪的能力,笔者猜测该地址大概率属于某机构而非个人。
「不小心」酿成大错
被「地址投毒」攻击成功的唯一解释就是「粗心大意」,此类攻击只要在转账前再次核对一下地址就可以被避免,但显然这次事故的主人公省下了这个关键的步骤。
地址投毒攻击从 2022 年开始出现,而故事的起源来自于「靓号地址」生成器,也就是一个可以定制 EVM 地址开头的工具。例如笔者本人就可以生成一个 0xeric 开头的地址来让地址更加标签化。
该工具后来被黑客发觉因为设计问题可以暴力破解私钥,从而导致了几起重大的资金盗窃事件。但生成定制化开头和结尾的能力也让一些图谋不轨的人想到了一个「鬼点子」:通过生成与用户常用转账地址开头结尾相似的地址,并向用户常用的其他地址转账,这样某些用户就可能因为粗心大意,将黑客地址当成自己的地址从而主动将链上资产送进黑客的口袋。
过往的链上信息显示,0xcB80 开头地址在此次攻击之前就是黑客投毒的重要目标之一,而对其进行地址投毒攻击始于接近 1 年前。这种攻击方式本质上就是黑客在赌你总有一天会因为嫌麻烦或者不注意而上当,也恰恰是这种一眼就能看穿的攻击方式,反而让「大马虎」们前赴后继成为受害者。
针对此次事件,F2Pool 联创王纯发推表达了对受害者的同情,并称其去年为了测试自己的地址是否出现了私钥泄漏的情况,就转了 500 枚比特币过去,然后就被黑客盗走了 490 枚比特币。虽然王纯的经历与地址投毒攻击无关,但其很可能是想表达每个人都有「犯蠢」的时候,不应苛责受害者的大意,而是应该把矛头指向黑客。
5000 万美元不是小数目,但并非此类攻击被盗金额之最。2024 年 5 月,一地址因此类攻击而向黑客地址转入了价值超 7000 万美元的 WBTC,但受害者最终在安全公司 Match Systems 和 Cryptex 交易平台】的协助下,通过链上协商追回了几乎所有资金。不过本次事件中黑客已迅速将被盗资金交易为 ETH 并转入 Tornado Cash,最终是否能追回犹未可知。
Casa 联合创始人兼首席安全官 Jameson Lopp 在 4 月警告称地址投毒攻击正在迅速蔓延,自 2023 年以来仅在比特币网络上发生的此类事件就高达 4.8 万起。
包括 Telegram 上的虚假 Zoom 会议链接在内,这些攻击手段称不上高明,但也正是这种「朴素」的攻击方式反而会让人放松警惕。对于黑暗森林中的我们而言,多长一个心眼永远都不会错。
欢迎加入律动 BlockBeats 官方社群:
Telegram 订阅群:https://t.me/theblockbeats
Telegram 交流群:https://t.me/BlockBeats_App
Twitter 官方账号:https://twitter.com/BlockBeatsAsia
从技术角度看,这种攻击毫无技术含量。攻击者利用公开的“靓号地址”生成器,创建一个与受害者常用地址首尾字符高度相似的地址,然后向受害者的某个地址发送一笔极小额的交易。这笔交易的目的不是窃取,而是“污染”受害者的交易历史。当受害者在钱包中查看历史记录时,这个恶意地址就会混在其中。攻击的核心是心理博弈,赌的就是用户在操作大额资金时,会因为惯性、紧张或疏忽而直接复制最近一笔交易的地址,从而将巨款亲手送入黑客口袋。
整个攻击流程体现出黑客对受害者行为模式的精准拿捏。从最初50 USDT的测试转账,到10小时后的大额提币,再到黑客精准地在受害者测试转账后植入0.005 USDT的“毒药”交易,时间点都抓得非常准。这强烈暗示攻击者可能对目标地址进行了长期监控,甚至可能长达一年,等待最佳出手时机。
事件后续的发展也符合这类高额盗币案件的典型路径。黑客在得手后迅速通过DEX将稳定币兑换成ETH,并立即转入Tornado Cash进行混币。这套“变现-混币”的组合拳旨在最快速度地切断链上追踪路径,将可追溯的资产转化为匿名的以太坊。Tornado Cash在此类事件中反复出现,尽管它已受到美国OFAC制裁,但其技术上的抗审查特性使其仍然是洗钱的首选工具,这凸显了去中心化协议在监管面前的困境。
受害者能在24小时内迅速联系各大交易平台、安全公司和执法部门,并准确锁定黑客身份,说明其极有可能是一个专业机构而非个人用户。但即便如此,专业背景也未能避免人为失误,这恰恰说明了在高压的链上操作中,再专业的流程也可能被一瞬间的疏忽所摧毁。
从更广的视角看,地址投毒只是社会工程学攻击在区块链上的变体。它与网络钓鱼、虚假客服等传统骗术内核一致:利用人的信任、习惯和疏忽,而非技术漏洞。正如F2Pool联创王纯所自嘲的,每个人都有可能“犯蠢”,在庞大的资金和复杂的操作面前,绝对的警惕是不存在的。
最终能否追回资金,取决于黑客的身份是否已被锁定以及其所在司法管辖区的执法效率。历史上曾有通过链上谈判追回绝大部分资金的先例,但一旦资金进入Tornado Cash,追回的难度将呈指数级上升。这件事给所有从业者的启示是,在区块链这片黑暗森林中,安全必须成为一种肌肉记忆。任何一次复制粘贴,都必须伴随一次清醒的核对。多一道验证流程,多花十秒钟时间,其背后是数百万美元的成本效益。
0