複製貼上釀巨禍:地址污染詐騙導致近 5,000 萬美元 USDT 損失
一樁看似微不足道的操作失誤,竟引發今年區塊鏈領域最嚴重的資金損失事件之一。一名用戶因不慎從交易記錄中複製了惡意錢包地址,將高達 49,999,950 枚 USDT(約 5,000 萬美元)轉入詐騙者手中,成為「地址污染」(Address Poisoning)攻擊的最新受害者。
根據鏈上調查機構 Web3 Antivirus 的報告,這起事件凸顯了即使經驗豐富的使用者,也可能在無意間落入精心設計的人為陷阱。與傳統駭客技術不同,此類攻擊不依賴漏洞利用,而是巧妙操弄人類行為習慣。
什麼是地址污染攻擊?
地址污染是一種社會工程學詐騙手法,攻擊者會向目標錢包發送極小額(例如 0.0001 ETH 或 USDT)的交易,但使用一個與目標常用收款地址「高度相似」的偽造地址作為來源或目的地。由於區塊鏈瀏覽器通常會在交易歷史中顯示所有互動過的地址,這些偽造地址便會混入使用者的記錄中。
視覺欺騙的關鍵細節
安全研究員、SlowMist 創辦人 Cos 指出:「你可以看到兩個地址的前 3 個字元和後 4 個字元完全相同。」這種設計足以讓人在快速複製時產生混淆,尤其當使用者習慣直接從歷史記錄中選取地址時。
「這就是地址污染的殘酷現實——它不靠破解系統,而是利用人類的習慣。」事件時間軸與資金流向
根據鏈上數據,受害者在轉帳前其實已進行過一次小額測試交易至正確地址,確認無誤後才準備進行大額轉移。然而僅數分鐘後,真正的 5,000 萬美元 USDT 卻被發送至那個「看起來一樣」的污染地址。
事發前,該錢包曾從 Binance 提領大量資金,顯示其處於活躍管理狀態。該錢包過去兩年主要用於 USDT 轉帳,累積了大量交易記錄,也增加了混淆風險。
攻擊者如何洗錢?
得手後,詐騙者迅速將 stolen USDT 兌換為以太幣(ETH),並將資金分散至多個錢包,部分更透過 Tornado Cash 進行混幣,增加追蹤難度。此舉顯示攻擊者具備成熟的資金清洗策略。
2025 年加密資產安全形勢嚴峻
此事件並非孤立案例。根據 Cointelegraph 報導,2025 年全球加密相關駭客攻擊已造成 **34 億美元**損失,為 2022 年以來最高年度總額。值得注意的是,損失主要集中在少數幾起重大事件:
| 事件 | 損失金額 |
|---|---|
| Bybit 交易所遭駭 | 14 億美元 |
| 多重簽名錢包遭接管 | 約 4,000 萬美元 |
| 本次地址污染攻擊 | 近 5,000 萬美元 |
僅前三起事件就佔全年總損失的 69%,顯示攻擊者正聚焦於高價值目標,而非廣撒網式的小規模詐騙。
如何防範地址污染?
專家建議採取以下措施降低風險:
- 永遠不要直接從交易歷史複製地址:應從官方管道、書籤或經過驗證的通訊記錄中取得收款地址。
- 啟用錢包內建的地址驗證功能:部分錢包(如 MetaMask)可標記常用地址或警示異常相似地址。
- 進行大額轉帳前務必執行「完整地址比對」:不僅看開頭與結尾,應逐字核對中段字元。
- 使用 ENS 或其他可讀域名:若對方支援,優先使用 human-readable 名稱(如 alice.eth)代替長串十六進位地址。
此外,企業級用戶應考慮部署多重簽名機制與交易審批流程,避免單一操作導致巨額損失。
常見問題解答
地址污染只會影響新手嗎?
不會。即使是有多年經驗的用戶也可能中招,因為攻擊者刻意設計地址使其在視覺上高度相似,尤其在手機小螢幕上更難辨識差異。
如果我不小心轉錯地址,有辦法拿回資金嗎?
幾乎不可能。區塊鏈交易不可逆,除非接收方自願歸還(詐騙者當然不會),否則資金無法追回。預防遠比補救重要。
哪些錢包最容易受地址污染影響?
任何顯示完整交易歷史的錢包(如 MetaMask、Trust Wallet、Ledger Live)都可能出現污染地址。關鍵不在錢包本身,而在使用者是否養成安全操作習慣。
為什麼攻擊者要先發小額交易?
這是為了讓偽造地址「自然地」出現在你的交易記錄中。區塊鏈瀏覽器通常按時間排序,小額交易會讓該地址看起來像是你曾經互動過的正常地址。
USDT 為什麼特別容易成為目標?
USDT 是市值最大、流動性最高的穩定幣,兌換與轉移極為便利。攻擊者得手後能迅速在去中心化交易所兌換為 ETH 或 BTC,並進一步混幣或提現,降低被凍結風險。
