巨鲸误转1155枚WBTC到零U投毒攻击相似地址、损失超7200万美元!

来源:211COIN

2024-05-04 17:32:51

根据区块链安全平台Cyvers消息,昨(3)日晚间有一位受害者遭到“地址投毒(addresspoisoning)”攻击,误将1,155枚WBTC发送到攻击者地址,以WBTC现价62,765美元计算,损失超过7200万美元。

巨鲸误转1155枚WBTC到零U投毒攻击相似地址、损失超7200万美元!

地址投毒或是零U投毒攻击是近年相当常见的诈骗手法,黑客透过建立首尾相同的地址来迷惑用户,并透过这个地址向用户发送价值微小的交易,以便在目标钱包中显示该地址,诱骗粗心大意的用户复制到错误的地址,进而造成资金损失。

这种手法因低成本高回报近年受到攻击者的青睐,而本次攻击者透过发送0ETH交易,从受害者那里骗到了1,155WBTC,成为此类攻击中损失金额最大的案例之一。

黑客如何钓到1155WBTC?

这次的案件也引起了知名区块链安全公司慢雾科技创办人Cos余弦的注意,他昨晚在推特上发文指出这次钓鱼团伙可谓是“大力出奇迹”。据他分析,该用户遭遇攻击的关键点包括:

1.用户正常转帐的目标地址被钓鱼团伙盯上,钓鱼团伙提前碰撞生成了首尾号相似的钓鱼地址,例如这里是去除0x后的首4位、尾6位一样。

2.用户正常转帐时,钓鱼立即(大概3分钟后)尾随一笔交易:钓鱼地址往目标用户地址转了0ETH

3.用户习惯从钱包历史记录复制最近转帐讯息,看到了这笔钓鱼尾随的交易,以为钓鱼地址就是用户正常转帐的目标地址,于是复制出来

4.最后,用户可能会肉眼辨识目标位址的首尾号是否熟悉,可惜的是,此时的“目标位址”是使用者从钱包历史记录复制出来的钓鱼位址,首尾号相同(首4尾6),于是发起1,155枚WBTC的大额转帐。

巨鲸误转1155枚WBTC到零U投毒攻击相似地址、损失超7200万美元!

来源:Cos(余弦)@evilcos

另外,根据加密KOL余烬监测,攻击者现已将得手的1,155枚WBTC全数兑换成22,960枚ETH。接下来很可能计划透过混币器洗出。

Metamask建议5招自保

虽然零U投毒攻击的手法简单,但特别容易成功,因为区块链地址相当长,许多用户转帐通常只会确认首尾号是否符合,也有许多钱包会因UI美观度,将地址的中间部分隐藏以…代替,一些用户甚至习惯从历史交易复制地址,这些都会大大提高踩坑的机率。

为了防范受骗上当,Metamask曾在去年提醒,建议用户可遵循以下5点安全措施:

1.在转帐前务必多次确认地址,尤其是涉及金额较大时,检查每个字符是确保安全的唯一方法

2.避免从历史交易复制地址的行为

3.使用冷钱包,通常会再次提醒用户检查转帐地址

4.将常用地址添加至地址薄

5.考虑先进行一笔测试交易

以太坊共同创办人Vitalik Buterin则建议,用户可使用ENS地址,减少检查地址时的麻烦,他提到“消除此攻击的另一种解决方案是使用ENS域名,如Bob.eth或Alice.eth,这样就不必检查所有十六进制的位元”。

211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
微信:yelbtc 请注明来意 | 邮箱:[email protected]

Copyright © 2018-2022 211COIN版权所有.

京ICP备17000885号-3