錢包錯誤與釣魚攻擊如何導致 6,200 萬美元的加密貨幣損失
據 CryptoPotato 報導,兩名加密貨幣用戶在複製錯誤的錢包地址後,分別損失了 1,225 萬美元和 5,000 萬美元。總計 6,200 萬美元的損失顯示,單一複製貼上的錯誤如何演變成永久性的鏈上損失。在每個案例中,地址錯誤的轉帳將資金轉移到非預期的目的地,且沒有實際的補救措施。
據 Invezz 報導,地址投毒是一種在受害者最近活動中植入相似地址的策略,使其隨後被誤複製,正成為加密貨幣最昂貴的詐騙手法之一。攻擊者利用日常行為,而非軟體漏洞。
交易所的操作錯誤與用戶端釣魚攻擊屬於不同的風險類別。據 Decrypt 報導,南韓監管機構對 Bithumb 展開調查,因該交易所因內部錯誤意外發送了價值約 430 億美元的 Bitcoin。該事件反映了機構處理失誤,而地址投毒和複製貼上錯誤則是用戶發起的途徑。
為何現在很重要以及防止損失的即時步驟
這些事件現在很重要,因為損失源自日常工作流程,例如從聊天或最近活動列表中複製收款人。加強對目的地址的基本驗證可以有效降低風險。
降低風險的做法包括從獨立、可信的來源驗證整個目的地字串,並避免依賴最近看到的地址。許多平台提供地址白名單和交易警報,小額測試轉帳可以確認新地址的行為符合預期。私鑰和助記詞絕不應分享,對主動聯繫的「支援」人員應保持極度懷疑。
平台指引呼應了這些防護措施,並警告偽裝成緊急帳戶問題的社交工程誘餌。Coinbase 通訊總監 Jaclyn Sales 表示:「Coinbase 絕不會要求您提供登入憑證、API 金鑰或雙因素驗證碼。我們也不會要求您轉移資金。」重點在於在採取任何可能轉移資產的行動之前,先驗證請求和管道。
截至撰文時,NasdaqGS 延遲報價數據顯示,股票代碼 COIN 於 2 月 6 日收於 165.12 美元附近,盤後水準約為 165.86 美元。數據被標記為延遲,僅供參考而非交易指引。市場水準不會改變地址驗證的機制,但它們構成了操作和釣魚風險實現的環境。
地址投毒解釋:相似地址如何欺騙發送者
在地址投毒設置中,攻擊者生成一個視覺上類似合法收款人的地址,然後發送一筆小額或零價值交易,使誘餌出現在受害者的歷史記錄中。之後,當受害者從先前的活動中複製地址時,相似地址被選中而非預期的地址。由於區塊鏈在沒有名稱檢查的情況下完成轉帳,資金會完全跟隨偽造的字串。
簡單的緩解措施著重於來源完整性和端到端比較。通過已驗證的管道直接從預期交易對手處獲取收款人地址,然後在提交交易前比較每個字元;在可用時,使用已儲存的白名單,並在發送主要金額前執行名義測試轉帳。
| 免責聲明: 本文提供的資訊僅供參考,不構成財務、投資、法律或交易建議。加密貨幣市場波動性極高且涉及風險。讀者應自行研究並諮詢合格專業人士後再做出任何投資決定。出版商對因依賴本文所含資訊而產生的任何損失概不負責。 |
