加密交易员因地址投毒骗局损失5000万美元USDT

地址投毒的机制

一名加密货币交易者在12月20日的单笔交易中损失了近5000万美元，因为成为复杂的“地址投毒”攻击的受害者。此次事件中，49,999,950 USDT被直接转入骗子的钱包，凸显出一个愈发严重的安全危机，高科技窃贼正在利用基本的人类习惯和用户界面限制。

根据链上调查者Specter的说法，受害者试图将资金从交易所转移到个人钱包，起初向其合法地址进行了50 USDT的测试交易。攻击者发现此举，立即生成了一个“伪造”的虚荣地址，与受害者合法钱包的前四个字符和后四个字符相匹配。

阅读更多：2025年加密骗局：如何识别并保护自己

攻击者随后从这个虚假地址向受害者发送了一小笔加密货币，有效地“污染”了用户的交易历史。在X上随后的讨论中，Specter对一名交易者因“这种极不可能的原因”而损失资金表示惋惜。在回应同为调查者的ZachXBT时，后者对受害者表示同情，Specter说：

“这正是让我无语的原因，因为一个简单的错误损失了如此巨大的一笔资金。只需几秒钟从正确来源复制并粘贴地址，而不是从交易历史中复制，就可以防止这一切发生。圣诞节被破坏了。”

用户界面缺陷：省略号与人为错误

由于大多数现代加密钱包和区块链浏览器会截断长的字母数字串——在中间显示省略号的地址（例如，0xBAF4…F8B5）——伪造的地址乍一看与受害者自己的地址相同。因此，当受害者继续转移剩余的49,999,950 USDT时，他们遵循了一种常见做法：从他们最近的交易历史中复制收款人地址，而不是源地址。

在投毒攻击的30分钟内，近5000万美元的USDT被换成了稳定币DAI，然后被转换为约16,690 ETH并通过Tornado Cash透明化。意识到发生的事情后，绝望的受害者向攻击者发送了一条链上消息，提供了100万美元的白帽奖金，以便归还98%的资金。截至12月21日，资产尚未收回。

安全专家警告称，随着加密资产达到新的高峰，这些低技术、高回报的“投毒”骗局正变得愈发普遍。为了避免类似结局，持有人被建议始终直接从钱包的“接收”标签中获取接收地址。

用户应将受信任的地址列入白名单，以防止手动输入错误。他们也应考虑使用需要物理确认完整目的地址的设备，以提供关键的第二层审查。

常见问题 💡

• 12月20日的攻击中发生了什么？ 一名交易者损失了近5000万美元的USDT，因地址投毒骗局受害。
• 骗局是如何运作的？ 攻击者伪造了一个在截断形式中看起来相同的钱包地址。
• 被盗加密货币去了哪里？ 资金通过DAI清洗，转换为ETH，然后通过Tornado Cash流通。
• 交易者如何保护自己？
  始终从钱包的“接收”标签中复制地址，并将受信任账户列入白名单。