一名加密货币投资者因地址污染攻击损失4,556枚以太坊,约1,240万美元。化名Specter的区块链分析师表示,盗窃发生在攻击者向受害者钱包投送一笔象征性交易以在最近活动中植入假地址后大约32小时。
攻击者花费两个月时间监控受害者的交易活动。在此期间,黑客发现一个用于场外交易清算的存款地址。攻击者首先向受害者的钱包发起一笔小额交易,这一策略旨在填充用户的交易日志,使被污染的地址在最近交易记录的顶部显现。
在依赖这份被篡改的名单时,受害者在尝试转出约1,240万美元时不小心复制了被污染的地址,而非合法来源。这一事件成为近几周内通过该攻击向量发生的第二起金额达到八位数的盗窃。
上个月,另一名加密货币交易者在几乎相同的方案中损失约5,000万美元。行业相关人士表示,这类攻击之所以蔓延,是因为钱包界面为了节省屏幕空间而截断显示地址。与此同时,此次漏洞对机构级投资者的身份验证与交易验证流程提出了严肃质疑。
与零售交易者通常依赖复制粘贴地址不同,进行数百万美元交易的机构通常采用严格的白名单程序并进行测试交易。因此,区块链安全公司Scam Sniffer呼吁投资者放弃对交易历史为定期加密货币支付的依赖。
发表评论