链上分析机构 Lookonchain 将近期一位大户受骗的案例作为警惕,提醒用户防范钓鱼攻击不只要确保网址正确,钱包交易的地址也应该再三确认,避免地址前端尾端相同但中间不吻合的假地址诈骗。
大户遭钓鱼攻击 7000 万美元
一位鲸鱼大户于五月 3 号因为钓鱼攻击,损失了约 1,155 枚 WBTC,换算价值约为七千万美元的资产。不过幸运的是骇客于一周后将资产全数归还。
该大户于五月 2 号花费 2960 万美元的 DAI 购买 502 枚的 WBTC,并打算开一个新钱包存放这些资产,这位大户也是谨慎,将存放 0.05 ETH 作为测试。
攻击者发现该大户的行动,提前产生大量假地址并监控后者的链上活动。当检测到大户开始要转移资金时,攻击者立即使用具有相同起始和结束字母的钓鱼地址将 0 美元 ETH 转移给鲸鱼,目的是让大户的交易纪录中充满这些假地址。
因为许多应用服务会隐藏地址的中间部分,例如显示「0x31d7….8ae1」等形式,因此钓鱼地址在此情况就会跟正确的地址看起来相同。最终成功骗到此大户复制此地址,并将 WBTC 转帐至给攻击者。
不过幸运的是,该攻击者因为身份潜在被曝光的风险,最终有将资源全数归还,不过或许其他人不会那么幸运,该如何防范此类钓鱼攻击?
如何防范钓鱼地址攻击?
首个较为简单执行的方法,就是确实检查地址,除了最前端与最尾端之外,也适当检查中间的字元,或者多看几位数,不要只看前后四位数。此动作虽造成多一些麻烦却可以大大减少风险。
设置钱包白名单,不论是这置常用的转帐地址,或者安装防钓鱼外挂,除去错误地址与可疑小额地址的侦测功能,都可以减少与钓鱼地址的互动机会。
最后则是使用习惯,复制钱包地址应该从源头 (例如钱包页面) 复制而非第三方介面,或者是每次在大额转账之前应该先进行小额转帐测试与落实分批转帐等,都是保护资产的有效方式。
在产业快速发展的阶段上,此类诈骗与钓鱼地址的发生机率会越来越高,做好自身资产防护与补充相关知识,已经是参与生态时不可忽略的一环。