Cách một nhà giao dịch tiền điện tử đã mất 50 triệu qua mẹo đơn giản nhất

歷史事件發生於12月20日，展示了即使是經驗豐富的加密貨幣交易者也可能因為一個基本的人為錯誤而變得脆弱。一位知名交易者在一次交易中幾乎損失了5000萬美元的USDT，成為一個精心策劃的攻擊的受害者，這次攻擊不需要任何高級軟件或零漏洞。相反，攻擊者利用的是加密貨幣交易者每天都在做的事情——從交易歷史中複製地址。

地址“中毒”機制：界面成為敵人

攻擊始於最簡單的觀察。區塊鏈研究員Specter分析了此案例並詳細描述：受害者最初向其合法錢包地址進行了一次50 USDT的測試交易。這是大額轉帳前的標準做法。但這個小動作卻成為攻擊者的信號。

詐騙者立即生成了一個定制的假地址，該地址與原始地址的前四個和最後四個字符相匹配。乍看之下，這兩個地址幾乎一模一樣——這並非巧合。大多數加密錢包和區塊鏈瀏覽器都會以縮略形式顯示地址：0xBAF4…F8B5。中間的三個點隱藏了大部分字符，因此偽造的地址看起來就像一個複製品。

攻擊者如何“偽裝”假地址

下一步尤為狡猾。攻擊者用這個偽造的地址向受害者發送了一小筆加密貨幣——這種做法被稱為“交易歷史中毒”。現在，這個假地址出現在受害者的“最近交易”中，與合法地址並列。

當交易者決定轉出剩餘的49,999,950 USDT時，他們習慣性地從“最近交易”菜單中複製地址，沒有仔細核對。結果，他們沒有意識到自己複製了錯誤的地址。界面將他們引入了陷阱。

從USDT到Tornado Cash：被盜資產的路徑

接下來，事情迅速發展。在攻擊後的30分鐘內，資產開始被轉換：幾乎5000萬USDT兌換成穩定幣DAI，然後再轉換成約16,690 ETH。最後，資產被送入Tornado Cash——一個流行的資金混合服務，旨在模糊資金來源，難以追蹤。

意識到災難的受害者拼盡最後一點力氣，向攻擊者發送了一條鏈上消息，提出“白金”獎勵100萬美元，要求返還98%的資金。這是對盜賊的“誠意”計劃，但截至12月21日，這一策略未能奏效。資產仍然由詐騙者所有。

專家評論：這怎麼可能發生

Specter對此事件表示深切遺憾，指出“加密貨幣交易者因一個最不可能導致巨大損失的原因而失去了資金”。在與另一位研究員ZachXBT的對話中，他強調：“這麼大的一筆資金是因為一個簡單的錯誤而失去的。如果地址是從正確的來源複製的，而不是交易歷史，這一切都可以在幾秒鐘內避免。”

這反映出一個深刻的諷刺：一個節省時間的技巧——從最近的交易中複製地址——反而成為最大的風險。

如何保護交易者，避免陷入同樣的陷阱

安全專家強調，隨著加密貨幣價值的上升，這些低技術但高利潤的攻擊越來越普遍。他們建議交易者遵循幾個簡單但至關重要的規則：

1. 總是從“收款”標籤中獲取地址
不要從交易歷史中複製。這條路是最大的陷阱。“收款”標籤能保證地址的原始性。

2. 將可信地址加入白名單
大多數優質錢包允許建立重複操作的白名單地址，這是手動輸入錯誤的防護措施。

3. 使用硬件錢包並進行地址驗證
某些設備在發送前需要實體確認完整地址，提供一個關鍵的第二層驗證，避免誤操作。

4. 完整檢查地址，而非縮略版本
不要只看前幾個和最後幾個字符。打開完整地址，核對中間的幾個字符。

5. 先用少量測試交易
就像受害者用50 USDT做測試一樣，先確保測試地址是真實有效的，再轉出大額資金。

這個交易者的故事是一個嚴肅的提醒：在數字資產世界裡，錯誤可能付出數百萬的代價，最重要的防線不是技術，而是人類的謹慎。