近期名為「零 U 地址投毒」的攻擊猖獗,甚至連交易所幣安(Binance)內部地址都在近期遭遇攻擊,錯誤轉帳 2000 萬 USDT。幸運的是,幣安立即發現了錯誤並及時請求凍結 USDT,資金未被駭客盜走。
(前情提要:零U投毒駭客上月獲利「203萬鎂USDC」,累計受害達 2237 萬美元)
(背景補充:發幣再收割「迷因幣慣犯」已獲160ETH,小心WALTER 2.0、GIGA 2.0為詐騙)
加密貨幣攻擊者為竊取資金屢出新招,近期一種最常見的詐騙手法便是「零 U 投毒」(ZeroTransfer ),駭客企圖透過建造首尾相同的地址來迷惑使用者,使粗心大意的使用者轉錯錢包地址,近而造成資金損失。
幣安内部地址遭「零 U 投毒」
由於零 U 投毒成本相當低且高回報,據 Dune Analytics 數據顯示,自去年 10 月以來,以太坊上因零 U 投毒攻擊,已損失超過 2,136 萬美元,甚至連交易所龍頭幣安(Binance)的內部地址都在近日遭遇攻擊。
延伸閱讀:零U投毒詐騙加強版「小額代幣釣魚」是什麼?鏈上已有800萬美元被盜
幣安創辦人趙長鵬(CZ)轉發一則貼文表示,他們昨天也遇到詐騙事件(幸運地未成功),差點損失 2,000 萬美元,因此希望透過分享經驗來避免類似的詐騙發生:
詐騙者的手法越來越高明,他們現在生成的地址以相同的開頭和結尾字母開始,這也是大多數人在進行加密貨幣轉帳時檢查的方式。實際上,許多錢包會因 UI 美觀度,將地址的中間部分隱藏起來,用“…”代替。
接著,詐騙者會使用這個地址向你發送微小的交易,以便在你的錢包中顯示該地址。
你可能會隨便選擇之前的某個交易,然後複製地址,進而複製到錯誤的地址。這就是昨天發生的事情,即使對方是一位經驗豐富的加密貨幣操作者。
幸運的是,CZ 表示操作員在完成交易(轉帳 2000 萬 USDT)後立即發現了錯誤,幣安已及時向 Tether 請求凍結 USDT,現在需要一些程序,包括提交警方報告,才能收回資金。但至少,這些資金不會被詐騙者拿走了。
I want to share this (luckily) unsuccessful, but very clever and close scam incident from yesterday 👇. Saved $20m. Hope it may also save you one day.
The scammers are so good now they generate addresses with the same starting and ending letters, which is what most people check… https://t.co/DFpdX8aNay
— CZ 🔶 Binance (@cz_binance) August 2, 2023
Metamask 建議 5 招自保
雖然零 U 投毒攻擊的手法簡單,但特別容易成功,為了防範受騙上當,Metamask 曾在今年 1 月提醒,建議用戶可遵循以下 5 點安全建議 :
- 在轉帳前務必多次確認地址,尤其是涉及金額較大時,檢查每個字符是確保安全的唯一方法
- 避免從歷史交易複製地址的行為
- 使用冷錢包,通常會再次提醒用戶檢查轉帳地址
- 將常用地址添加至地址薄
- 考慮先進行一筆測試交易
以太坊共同創辦人 Vitalik Buterin 則建議,用戶可使用 ENS 地址,減少檢查地址時的麻煩,他提到「消除此攻擊的另一種解決方案是使用 ENS 域名,如 Bob.eth 或 Alice.eth,這樣就不必檢查所有十六進制的位元」。
延伸閱讀:零U投毒猖獗》Metamask教你「5招自保」、V神:建議用ENS
📍相關報導📍
零U投毒詐騙加強版「小額代幣釣魚」是什麼?鏈上已有800萬美元被盜
零U投毒駭客上月獲利「203萬鎂USDC」,累計受害達 2237 萬美元
零U投毒猖獗》Metamask教你「5招自保」、V神:建議用ENS
