因未核对转账地址导致5000万美元被盗：一场本可避免的悲剧

作者：Eric，Foresight News

北京时间昨日凌晨，链上分析师 Specter 发现了一起令人震惊的事件：由于未能仔细检查转账地址，近 5000 万枚 USDT 被转入黑客控制的地址。

根据调查，涉事地址（0xcB80784ef74C98A89b6Ab8D96ebE890859600819）于北京时间 19 日 13 时左右从币安提取了 50 枚 USDT，用于大额提币前的测试。

约 10 小时后，该地址从币安一次性提取了 49,999,950 枚 USDT，加上此前的 50 枚 USDT，总计达 5000 万。

大约 20 分钟后，接收 5000 万枚 USDT 的地址向 0xbaf4…95F8b5 转入 50 枚 USDT 进行测试。

在测试完成后不到 15 分钟，黑客地址 0xbaff…08f8b5 向剩余 49,999,950 枚 USDT 的地址转入 0.005 枚 USDT。黑客使用的地址与接收 50 枚 USDT 的地址开头和结尾极为相似，这是一次典型的「地址投毒」攻击。

10 分钟后，当 0xcB80 开头的地址准备将剩余的 4000 多万枚 USDT 转走时，可能因疏忽复制了上一笔交易地址，即黑客进行「投毒」的地址，直接将近 5000 万枚 USDT 转给了黑客。

眼见得手，黑客在 30 分钟内迅速开始洗钱。据慢雾监测，黑客首先通过 MetaMask 将 USDT 兑换为 DAI，随后使用全部 DAI 购买了约 16690 枚以太坊，留下 10 ETH 后，其余以太坊全部转入 Tornado Cash。

北京时间昨日 16:00 左右，受害者在链上对黑客喊话，称已正式提起刑事诉讼，并在执法部门、网络安全机构及多个区块链协议的协助下收集到大量关于黑客活动的可靠情报。失主表示，黑客可以保留 100 万美元，但需归还剩余 98% 的资金；若配合则不再追究，否则将通过法律途径追究其刑事及民事责任，并公开其身份。然而，截至目前，黑客尚未作出回应。

据 Arkham 平台整理的数据，该地址与币安、Kraken、Coinhako 和 Cobo 均有大额转账记录。币安、Kraken 和 Cobo 无需赘述，而 Coinhako 是一家成立于 2014 年的新加坡本地加密货币交易所，于 2022 年获得新加坡金融管理局颁发的大型支付机构牌照，属于受监管的交易所。

鉴于该地址涉及多地交易所以及 Cobo 托管服务，并在案发 24 小时内迅速联系各方完成对黑客的追踪，笔者推测该地址大概率属于某机构而非个人。

粗心酿成大错

「地址投毒」攻击成功的唯一原因是「粗心大意」。此类攻击只需在转账前再次核对地址即可避免，但显然此次事故的主人公忽略了这一关键步骤。

地址投毒攻击自 2022 年开始出现，其起源可追溯至「靓号地址」生成器，这是一种能够定制 EVM 地址开头的工具。例如，笔者可以生成一个以 0xeric 开头的地址，使其更具辨识度。

后来，黑客发现该工具因设计问题存在私钥暴力破解漏洞，从而引发了几起重大的资金盗窃事件。然而，生成定制化开头和结尾地址的功能也让一些不法分子想到一种「诡计」：通过生成与用户常用地址开头和结尾相似的地址，并向用户常用的其他地址转账，诱导粗心的用户将资产转至黑客地址。

链上信息显示，0xcB80 开头的地址早在一年前就成为黑客「投毒」的目标。这种攻击方式本质上是黑客赌用户总有一天会因疏忽或懒惰而中招。正是这种看似简单的攻击手段，反而让许多「粗心者」接连成为受害者。

针对此次事件，F2Pool 联合创始人王纯在推特上表达了对受害者的同情。他提到，去年为了测试自己的地址是否泄露私钥，曾转出 500 枚比特币，结果被黑客盗走了 490 枚。虽然王纯的经历与地址投毒无关，但他可能想表达的是，每个人都有「犯蠢」的时候，不应苛责受害者的大意，而应将矛头指向黑客。

5000 万美元并非小数目，但也并非此类攻击中的最高金额。2024 年 5 月，一地址因此类攻击向黑客地址转入了价值超 7000 万美元的 WBTC，但最终在安全公司 Match Systems 和 Cryptex 交易所的协助下，通过链上协商追回了几乎所有资金。然而，本次事件中黑客已迅速将被盗资金兑换为 ETH 并转入 Tornado Cash，能否追回尚不可知。

Casa 联合创始人兼首席安全官 Jameson Lopp 在今年 4 月警告称，地址投毒攻击正在迅速蔓延，自 2023 年以来仅在比特币网络上发生的此类事件就高达 4.8 万起。

包括 Telegram 上的虚假 Zoom 会议链接在内，这些攻击手段并不高明，但正是这种「朴素」的方式反而让人放松警惕。对于身处黑暗森林中的我们而言，多一份警惕永远不是坏事。