一名加密货币用户在一次大型链上攻击中因地址中毒诈骗而损失了 $50 million 的 USDT。
在用户发送了 $50 的测试交易以验证目标地址后,再转移剩余资金之前,盗窃行为被 Web3 Antivirus 发现。
随后骗子发送了一笔极小的尘埃金额以污染交易记录,受害者误以为目标地址是合法的,于是从历史记录中复制该地址并向骗子发送了 $49,999,950 USDT。
尘埃交易常被发送到富有地址,以诱导复制粘贴错误。
区块链数据表明,被盗资金已兑换为 ETH,并在多个钱包之间转移。
若干涉案地址曾与 Tornado Cash(经制裁的加密货币混币平台)互动,试图遮蔽轨迹。
受害者随后在链上发布了一则信息,要求在 48 小时内返还 98% 的资金;如全部资产被返还,则提供 $1 million 的白帽奖金。
信息警告称,如不遵守将触发法律升级与刑事指控。
“这是您和平解决此事的最后机会。” 受害者在信息中写道:“如果您不遵守:我们将通过国际执法渠道将此事升级。”
地址中毒并非利用代码或密码学的漏洞,而是利用用户习惯,即依赖部分地址匹配和从交易历史中复制粘贴的行为。
执行这些交易的机器人投放了广泛的网络,期望获得成功,正如本案所示,他们确实实现了这一点。
发表评论