巨鯨親手將 2億台幣等值的比特幣轉給詐騙

就在前幾天，2024 / 05 / 03，一位加密貨幣巨鯨因為一時粗心大意，親手將 1155 顆 WBTC (封裝比特幣) 轉給釣魚地址，以撰文當下價格計算損失超過 7000 萬美金！

同樣的攻擊手法之前幣安也遭遇過，當時幣安將 2000 萬美金的 USDT 轉給釣魚地址，幸好之後被 Tether 擋下並追回。

連巨鯨、龍頭交易所幣安都會中招，這種釣魚手法有好幾種說法：「零 U 攻擊」、「地址投毒」、「首尾地址釣魚」，這並不是新出現的手法，但老招式能持續存在就是因為它有效，真的能釣魚成功，利用的也不是什麼嶄新釣魚技術，而是最根本也最難避免的人性：粗心。

零 U 地址投毒釣魚是什麼？－利用首尾相似的釣魚地址騙你轉帳

原理說起來非常簡單，主要三步驟：

1. 創造出首尾一樣的釣魚地址，利用人通常只會檢查地址前後幾碼的習慣

2. 發送 0 U 交易留下交易紀錄，利用有些人會從交易紀錄複製地址的習慣

3. 廣撒出去，釣魚的成本只有創建地址 & 發送交易的 gas 費，等待粗心者上鉤 

加密貨幣錢包地址很長，通常我們不會核對全部，只會核對前後幾碼。釣魚集團透過大量嘗試創建出首尾相似的錢包地址，前後幾乎一樣，沒有核對整串地址的話會誤認為是自己的地址。

當然如果錢包裡的錢很少，釣魚集團應該沒空去大量嘗試創建出首尾相似的地址，加密貨幣錢包都是公開的，裡頭有多少錢、常常互動的地址等大家都看的到，錢包餘額愈高的就愈有可能被盯上。

某天我們做了一筆轉帳，釣魚集團偵測到後跟著也發出一筆 0 U 交易，時間很接近，首尾地址又相同，若沒細看很容易認錯，會以為這筆交易就是我們剛做過的交易。

接著如果有從交易紀錄複製地址的習慣，一旦從錯誤的交易複製，就 ... 中招了，接著就會親手轉幣給詐騙集團，過一陣子才發現錢包沒有收到幣，這時詐騙集團可能早已將收到的幣轉賣，再也追不回了。

零 U 地址投毒，簡單暴力的釣魚手法，核心原理是利用人們最常犯的錯誤：粗心大意。

如果你的錢包餘額不低，平常會為了追求方便而有時隨便，常粗心大意出錯，那你就是零 U 地址投毒的高風險對象。

簡單一招，預防零 U 首尾地址投毒釣魚

最根本的預防方式：完整檢查地址 & 每次轉大額前都先小額測試。但這跟 "不要粗心" 是差不多一樣無效的建議，畢竟問題不是人不知道不要粗心，而是人很難做到不粗心。

實務上不太可能每次完整檢查地址，有時就是會忘記，或需要快速，最簡單又有效預防零 U 地址投毒釣魚的方式，是「白名單轉帳」。

這個功能其實除了我們常使用的交易所之外，鏈上錢包很多也都支援，以最常用的小狐狸 Metamask 錢包而言，就是建立聯絡人，未來每次轉帳不要再複製地址，而是從聯絡人清單點選。

右上 ⁝ 後選設定，進入聯絡人後即可新增聯絡人。

新增聯絡人的這一次操作，務必完整核對地址，核對這一次即可，未來轉帳都點選聯絡人，不要再使用複製貼上地址的方式，就能避免零 U 地址投毒釣魚，也能避開另一種攻擊手法：剪貼版病毒 (竄改複製貼上的內容)。

使用白名單地址轉帳好處多多，無論是錢包或交易所都強烈建議建立白名單地址清單。

完整預防零 U 地址投毒方式列表：

• 每次完整核對地址

• 不要從交易紀錄複製地址

• 每次轉大額前都先轉一筆小額測試

• 使用域名服務 (例如 ENS)

• 使用白名單地址 (聯絡人、地址簿)

如果平常使用的地址較多，如何快速辨別轉帳的地址是否正確？

可以透過像 Debank 這種鏈上資產工具來快速瀏覽要轉帳的地址是否正確，包含「鏈上資產組成」、「交易紀錄」都能夠清楚查看，幫助我們快速辨認 。

延伸閱讀

追蹤這些帳號讓你的加密貨幣資產更安全

搶進 BNS 比特幣域名戰場！.btc 購買方式，域名 Ordinals 銘刻教學

錢包簽名釣魚詐騙是什麼？簽名資產馬上就歸零？Permit 簽名原理與防範

讓你的 Metamask 小狐狸錢包更安全｜合約可讀性工具 Wallet Guard & Fire 介紹