据报导,一位加密货币用户因遭受「地址中毒」骗局,眼睁睁看着自己在Coinbase 上多达97% 的资产瞬间被盗走,最终损失1,155 枚wBTC,价值近7,000 万美元。正当消息越传越烈之际,曾爆料揭穿PEPE 创办人真实身分的Pond Coin 创办人PAULY发文证实,自己就是那位受害者。
「地址中毒」是一种新型网路钓鱼攻击,透过生成一个与受害者地址相似的假地址,接着再向受害者发送少量加密货币,让假地址得以被添加到受害者的交易纪录当中,而当受害者尝试进行交易时,就很可能被诱骗将资金转入攻击者的假地址。
由于区块链上的数据皆为透明、公开,攻击者很轻易就能锁定用户的加密货币地址,并发送欺骗交易来对受害者发动网路钓鱼攻击。
区块链资安公司CertiK 在 X 上的一篇贴文中表示,团队检测到价值6,930 万美元的wBTC 被转移到假地址,导致受害者在Coinbase 钱包内的资产瞬间损失约97%,余额剩下160 万美元。
另一家资安公司派盾(Peckshield)则透露,攻击者已将失窃的wBTC 兑换成23,000 枚以太币,然后开始转移资金。
Pond Coin 创办人PAULY 后来发文说明事情经过时表示,自己当时正尝试转移一大笔资金,岂料贴上的地址实际上是由攻击者生成的假地址,事后才意识到不对劲,只可惜为时已晚,资金已被转移到与自己几乎相同的地址。
针对这种情况,加密货币交易平台Trezor 提醒称,用户在发送交易之前应逐字确认地址是否正确,并且在转移资金时切勿复制交易纪录中的地址,以避免落入圈套。
该公司表示,在进行大额转帐之前发送小额进行测试,这也是验证地址的有效方法。