原文标题：《5000 萬美元被盜，只因沒仔細核對地址》

原文作者：Eric，Foresight News

北京時間昨日凌晨，X 名為 Specter 的鏈上分析師發現了一起因為沒有仔細檢查轉帳地址而導致近 5000 萬枚 USDT 被轉入黑客地址的案件。

據筆者查證，該地址（0xcB80784ef74C98A89b6Ab8D96ebE890859600819）於北京時間 19 日 13 時左右從 Binance 提出 50 枚 USDT 進行了大額提幣前的測試。

大約 10 小時之後，該地址從 Binance 一次性提出了 49,999,950 枚 USDT，加上之前提出的 50 USDT，總計正好 5000 萬。

大約 20 分鐘之後，收到 5000 萬枚 USDT 的地址就先向 0xbaf4…95F8b5 轉入 50 枚 USDT 用於測試。

就在測試轉帳完成後的不到 15 分鐘時間，黑客地址 0xbaff…08f8b5，就向剩下 49,999,950 枚 USDT 的地址轉入 0.005 枚 USDT。黑客使用的地址與接收 50 枚 USDT 的地址開頭結尾都很相似，是一次明顯的「地址投毒」攻擊。

10 分鐘之後，當 0xcB80 開頭地址準備將剩下的 4000 多萬枚 USDT 轉走時，可能是疏忽之下複製了上一筆交易，也就是黑客進行「投毒」的地址，直接把將近 5000 萬枚 USDT 送到了黑客的手上。

眼見 5000 萬美元到手，黑客在 30 分鐘後就開始了洗錢動作。據慢霧監測，黑客先通過 MetaMask 將 USDT 交易為 DAI，再使用全部的 DAI 買入約 16690 枚以太坊，留下 10 ETH 後剩餘的以太坊全部轉入 Tornado Cash。

北京時間昨日 16:00 左右，受害者在鏈上對黑客喊話稱已正式提起刑事訴訟，並已在執法部門、網絡安全機構和多個區塊鏈協議的協助下收集到大量關於該黑客活動的可靠情報。失主表示黑客可以留下 100 萬美元，並將剩餘 98% 的資金歸還，如果黑客照做則不再追究；如果不配合就將通過法律途徑追究黑客的刑事和民事責任，並將公開黑客身份。但截至目前，黑客還沒有任何動靜。

據 Arkham 平台整理的數據，該地址與 Binance、Kraken、Coinhako、Cobo 地址均有大額轉帳記錄。Binance、Kraken 和 Cobo 無需介紹，而 Coinhako 可能是一個相對陌生的名字。Coinhako 是一家成立於 2014 年的新加坡本地加密貨幣交易平台，於 2022 年獲得新加坡金融管理局頒發的大型支付機構牌照，屬於新加坡受監管的交易平台。

鑑於該地址使用多地交易平台以及 Cobo 托管服務，以及在案發 24 小時內就迅速聯繫各方完成了對黑客的追蹤的能力，筆者猜測該地址大概率屬於某機構而非個人。

「不小心」酿成大錯

被「地址投毒」攻擊成功的唯一解釋就是「粗心大意」，此類攻擊只要在轉帳前再次核對一下地址就可以被避免，但顯然這次事故的主人公省下了這個關鍵的步驟。

地址投毒攻擊從 2022 年開始出現，而故事的起源來自於「靚號地址」生成器，也就是一個可以定制 EVM 地址開頭的工具。例如筆者本人就可以生成一個 0xeric 開頭的地址來讓地址更加標籤化。

該工具後來被黑客發覺因為設計問題可以暴力破解私鑰，從而導致了幾起重大的資金盜竊事件。但生成定制化開頭和結尾的能力也讓一些圖謀不軌的人想到了一個「鬼點子」：通過生成與用戶常用轉帳地址開頭結尾相似的地址，並向用戶常用的其他地址轉帳，這樣某些用戶就可能因為粗心大意，將黑客地址當成自己的地址從而主動將鏈上資產送進黑客的口袋。

過往的鏈上信息顯示，0xcB80 開頭地址在此次攻擊之前就是黑客投毒的重要目標之一，而對其進行地址投毒攻擊始於接近 1 年前。這種攻擊方式本質上就是黑客在賭你總有一天會因為嫌麻煩或者不注意而上當，也恰恰是這種一眼就能看穿的攻擊方式，反而讓「大馬虎」們前赴後繼成為受害者。

針對此次事件，F2Pool 聯創王純發推表達了對受害者的同情，並稱其去年為了測試自己的地址是否出現了私鑰洩漏的情況，就轉了 500 枚比特幣過去，然後就被黑客盜走了 490 枚比特幣。雖然王純的經歷與地址投毒攻擊無關，但其很可能是想表達每個人都有「犯蠢」的時候，不應苛責受害者的大意，而是應該把矛頭指向黑客。

5000 萬美元不是小數目，但並非此類攻擊被盜金額之最。2024 年 5 月，一地址因此類攻擊而向黑客地址轉入了價值超 7000 萬美元的 WBTC，但受害者最終在安全公司 Match Systems 和 Cryptex 交易平臺】的協助下，通過鏈上協商追回了幾乎所有資金。不過本次事件中黑客已迅速將被盜資金交易為 ETH 並轉入 Tornado Cash，最終是否能追回猶未可知。

Casa 聯合創始人兼首席安全官 Jameson Lopp 在 4 月警告稱地址投毒攻擊正在迅速蔓延，自 2023 年以來僅在比特幣網絡上發生的此類事件就高達 4.8 萬起。

包括 Telegram 上的虛假 Zoom 會議鏈接在內，這些攻擊手段稱不上高明，但也正是這種「樸素」的攻擊方式反而會讓人放鬆警惕。對於黑暗森林中的我們而言，多張一個心眼永遠都不會錯。

原文鏈接

歡迎加入律動 BlockBeats 官方社群：

Telegram 訂閱群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方帳號：https://twitter.com/BlockBeatsAsia