地址投毒:悄无声息的加密货币威胁,让用户损失数百万美元
诈骗者利用数字盲点,单笔交易损失近 70 万美元
本周,加密货币世界震惊了,一位不愿透露姓名的投资者因为一种越来越常见的诈骗手段——“地址投毒”,在一次交易中损失了近 70 万美元。这起事件中,699,990 USDT(约 699,971 美元)被转入诈骗者的钱包,而不是币安,凸显了加密货币用户在管理交易方面存在一个危险的漏洞。
一位追踪地址投毒事件的区块链安全研究员表示:“在过去的六个月里,我看到这类攻击呈指数级增长。这个案例尤其令人震惊的是损失的规模以及它本可以很容易地避免。”
链上数据显示,受害者试图向币安账户存款,但不小心将资金发送到了一个欺诈地址,该地址与合法的目标地址仅相差一个字符:0x2c1134a046...6c7989c0b,而不是 0x2c1133a557...b61c9d。
链上数据是指永久记录在区块链公共账本上的所有信息。这主要包括所有区块链交易的详细信息,例如发送者和接收者地址、交易金额和时间戳。
通过区块链记录验证的这笔交易(哈希值:0xa80805c97f5008637c4706b03316f61429ca3243f84b1124603ad2a9540915df)是今年报告的地址投毒造成的最大单笔损失之一。
现代加密货币盗窃案的剖析
与依赖于入侵系统或窃取凭据的传统黑客方法不同,地址投毒利用了人类心理和用户界面局限性。这种诈骗遵循一种有条不紊的策略,网络安全专业人士一直在越来越紧急地警告人们。
一位为几家主要交易所提供咨询的数字取证专家解释说:“这些不是随机的投机分子。地址投毒团伙是使用自动化工具识别高价值目标并大规模生成具有欺骗性的相似地址的精密操作。”
攻击始于诈骗者识别正在进行高价值交易的活跃钱包。他们使用专门的软件创建“虚荣地址”,旨在模仿合法的目标地址,重点是复制开头和结尾的字符——这是大多数用户在进行交易时会视觉验证的部分。
加密货币虚荣地址是一种自定义的、个性化的钱包地址,经过专门生成,包含所需的字符序列,例如姓名或单词。与标准的随机生成的地址相比,此过程使地址对所有者来说更易于识别或更有意义。
然后,攻击者向目标钱包发送可忽略不计的少量加密货币,从而有效地用欺诈地址“毒害”受害者的交易历史记录。之后,当用户参考他们的历史记录来复制以前使用过的地址时,他们可能会在不知不觉中选择中毒的地址。
一位加密货币交易所安全顾问说:“这种攻击特别隐蔽的地方在于它的微妙性。没有恶意软件,没有网络钓鱼电子邮件,没有任何会触发传统安全警报的东西。这是一种纯粹的社会工程攻击,利用了人类处理信息的方式。”
牛市中日益蔓延的流行病
最近发生的 70 万美元盗窃案远非孤立事件。根据行业分析,2025 年地址投毒攻击急剧增加,仅 3 月份就有超过 120 万美元被盗,而 2 月份的损失总计为 180 万美元。
表格:近期主要区块链地址投毒攻击造成的每月损失。
| 月份/期间 | 区块链 | 报告的损失 | 来源/注释 |
|---|---|---|---|
| 2025 年 3 月 | 比特币 | 120 万美元 | Cyvers、行业报告 |
| 2025 年 2 月 | 比特币 | 180 万美元 | Cyvers、行业报告 |
| 2024 年 12 月 | Solana | 310 万美元 | 安全公司报告 |
| 2024 年 8 月(累计) | Ethereum/BSC | 8380 万美元 | 研究报告(总计) |
| 2023–2024 年(累计) | Ethereum | 高达 1.44 亿美元 | 多个来源,总计 |
当前的牛市似乎正在加剧这个问题。随着交易量的增加和新用户进入市场,可供利用的机会成倍增加。仓促的交易和对安全最佳实践的不熟悉为诈骗者创造了一个目标丰富的环境。
有些案例甚至比本周的事件更具破坏性。去年 5 月,一名受害者错误地将价值 7100 万美元的 Wrapped Bitcoin 发送到了一个中毒的地址。尽管那个特殊的案例有一个罕见的幸福结局——攻击者在区块链调查人员能够追踪到盗窃行为后归还了资金——但大多数受害者永远无法收回他们的资产。
Wrapped Bitcoin (WBTC) 是以太坊区块链上的 ERC-20 代币,代表比特币 (BTC),比例为 1:1。它本质上允许比特币持有者在以太坊的去中心化金融 (DeFi) 生态系统中使用他们的 BTC,从而有效地将比特币的流动性带到其他链上。
一位区块链分析专家指出:“我们现在看到的 70 万美元损失在严重程度上代表了一个中间地带。我们记录的个人损失从几千美元到数千万美元不等。”
一项全面的研究确定了大约 1,800 个受害者地址,仅通过以太坊地址投毒攻击损失了高达 1.44 亿美元,其中确认的损失为 9000 万美元。更令人震惊的是,研究人员发现只有四个实体控制了这些攻击中使用的 98% 的网络钓鱼地址,这表明是有组织的犯罪活动,而不是机会主义的个人诈骗者。
完美风暴:低费用和不充分的保护措施
有两个因素共同造成了安全专业人士所描述的地址投毒攻击的“完美风暴”:历史性的低交易费用和钱包界面中不充分的安全措施。
历史以太坊平均 Gas 费用显示近期低点。
| 日期 | 平均 Gas 费用 (Gwei) | 平均交易费用(美元) | 注释 |
|---|---|---|---|
| 2025 年 4 月 24 日 | 4.083 Gwei | $0.5382 | 来自 YCharts 的每日平均值。 |
| 2025 年 4 月 17 日 | 0.37 - 0.40 Gwei | - | 自 2019 年年中以来的最低平均 gas 价格读数,归因于 Dencun 升级。 |
| 2025 年 2 月 15 日 | - | $0.77(7 天移动平均值) | 美元费用在此时达到四年来的低点。 |
| 2025 年 2 月 7-8 日 | ~1 Gwei(或更低) | ~$0.06 | 费用低于 1 Gwei,表明网络活动减少和需求低迷。 |
| 2024 年 3 月 | > 90 Gwei | - | 与 ETH 价格飙升至 4,000 美元相关,表明网络活动高。 |
| 2020 年 | ~709.7 Gwei(峰值) | ~$196(峰值) | 由网络活动增加、DeFi 和 NFT 趋势推动的高费用。 |
随着以太坊等网络上的 gas 费用下降,攻击者现在可以承受以极低的成本发送数千笔“粉尘”交易。Casa 首席安全官 Jameson Lopp 观察到,这些低费用环境通过使大规模投毒活动在经济上可行,直接刺激了攻击。
粉尘攻击是指向许多不同的区块链钱包发送极小的、可以忽略不计的加密货币金额(“粉尘”)。主要目的是通过跟踪这些粉尘资金的后续活动来取消用户的匿名性,目的是将钱包地址与个人或组织联系起来。
一位加密货币安全顾问说:“在 2022 年,发送一笔投毒交易可能需要花费 20-30 美元的 gas 费用。现在,攻击者可以用同样的金额毒害数百个地址。经济形势已经发生了巨大变化,对诈骗者有利。”
与此同时,许多钱包界面和加密货币平台未能实施足够的安全措施来防范这种特定的威胁向量。网络安全公司 Cyvers 的首席执行官 Deddy Lavid 表示,行业分析表明,62% 的受影响用户依赖于没有内置安全检查的自动化系统。
许多钱包的界面设计加剧了这个问题。为了提高可读性,地址通常会缩短,只显示开头和结尾的几个字符(例如,0x123...abc),这使得中毒地址在乍看之下几乎与合法地址无法区分。
一位加密货币钱包开发人员认为:“在这一点上,这既是一个用户界面设计失败,也是一个安全问题。当我们知道用户无法实际记住或比较 42 个字符的十六进制字符串时,我们需要构建更好的系统,而不是依赖他们这样做。”
超越个人损失:机构漏洞
地址投毒不仅限于个人投资者。2025 年 3 月,攻击者在 Arbitrum 空投后不久,通过毒害符合条件的接收者的钱包,窃取了 930,000 个 ARB 代币。该事件引发了人们的质疑,即即使是复杂项目也可能成为这些相对简单的攻击的受害者。
对于机构投资者来说,更令人担忧的是 2025 年第一季度发生的 Bybit 黑客攻击,虽然该攻击并非完全使用地址投毒技术,但造成了 14 亿美元的损失,并引发了人们对交易所安全实践的严重质疑。
一位为机构加密货币投资者提供咨询的风险管理顾问表示:“我们正在了解到,地址验证仍然是整个行业的一个关键漏洞。从个人钱包到主要交易所,我们都看到了类似的利用模式。”
反击:技术和教育
随着地址投毒攻击变得越来越普遍,技术和教育方面的对策也在不断涌现。安全专家一致建议采取一些最佳实践,这些实践本可以防止本周发生的 70 万美元损失:
最基本的保护仍然是手动地址验证——逐个字符地交叉检查整个钱包字符串,而不是依赖于缩短地址的视觉模式匹配。
一位加密货币安全教育者强调说:“始终验证完整的地址,而不仅仅是开头和结尾的几个字符。是的,这很乏味,但这是保住你的钱和失去一切的区别。”
有些平台已经实施了白名单功能,允许用户创建预先批准的地址列表,资金可以发送到这些地址。一旦建立,这些列表将阻止转移到任何非白名单地址,从而有效地阻止投毒尝试。
更高级的解决方案也正在涌现。几家安全公司正在开发人工智能驱动的工具,可以实时筛选交易,标记与以前使用的地址非常相似的可疑地址。这些系统分析交易模式,并可以在资金转移之前识别潜在的投毒尝试。
人工智能,特别是机器学习,分析金融交易模式以识别异常情况。这有助于检测传统金融和加密货币安全等新兴领域的潜在欺诈活动。
一位开发反投毒技术的开发人员解释说:“机器学习算法可以检测到人类可能错过的细微模式。我们正在训练模型来识别地址是否与您以前使用过的地址非常相似,但在表明恶意意图的方式上有所不同。”
行业正处于十字路口
加密货币行业在地址安全方面正处于一个关键时刻。虽然底层区块链技术仍然安全,但人机界面层已成为安全链中最薄弱的环节。
一位为几个主要项目提供咨询的加密货币安全顾问表示:“对于钱包开发者来说,这是一个关键时刻。该行业需要承认,期望用户手动验证长十六进制字符串是不现实且危险的。”
一些专家提出了更激进的解决方案,包括完全放弃十六进制地址,转而使用人类可读的地址,或者对高价值交易实施多因素确认。其他人则提倡标准化警告系统,该系统会在用户尝试将资金发送到与以前使用的地址非常相似但不匹配的地址时发出警报。
一位区块链安全研究员警告说:“在我们从界面层面解决这个问题之前,我们将继续看到数百万美元的损失。防止这些攻击的技术已经存在——缺乏的是实施和标准化。”
随着对本周 70 万美元盗窃案的调查继续进行,受害者加入了越来越多受害者名单,这已成为加密货币最普遍的安全挑战之一。虽然区块链技术本身对直接攻击具有显着的抵抗力,但地址投毒表明,有时最有效的攻击目标不是技术,而是使用它的人。
一位数字资产安全顾问反思道:“这是 2025 年加密货币安全的悖论。我们构建了几乎无法破解的系统,却因为我们在屏幕上显示地址的方式而损失了数百万美元。解决方案不是更多的密码学——而是更好的设计。”