NEW EVENT
最新活動
幣安
HOT ARTICLES
熱門文章
就在前幾天,2024 / 05 / 03,一位加密貨幣巨鯨因為一時粗心大意,親手將 1155 顆 WBTC (封裝比特幣) 轉給釣魚地址,以撰文當下價格計算損失超過 7000 萬美金!
同樣的攻擊手法之前幣安也遭遇過,當時幣安將 2000 萬美金的 USDT 轉給釣魚地址,幸好之後被 Tether 擋下並追回。
連巨鯨、龍頭交易所幣安都會中招,這種釣魚手法有好幾種說法:「零 U 攻擊」、「地址投毒」、「首尾地址釣魚」,這並不是新出現的手法,但老招式能持續存在就是因為它有效,真的能釣魚成功,利用的也不是什麼嶄新釣魚技術,而是最根本也最難避免的人性:粗心。
原理說起來非常簡單,主要三步驟:
創造出首尾一樣的釣魚地址,利用人通常只會檢查地址前後幾碼的習慣
發送 0 U 交易留下交易紀錄,利用有些人會從交易紀錄複製地址的習慣
廣撒出去,釣魚的成本只有創建地址 & 發送交易的 gas 費,等待粗心者上鉤
加密貨幣錢包地址很長,通常我們不會核對全部,只會核對前後幾碼。釣魚集團透過大量嘗試創建出首尾相似的錢包地址,前後幾乎一樣,沒有核對整串地址的話會誤認為是自己的地址。
當然如果錢包裡的錢很少,釣魚集團應該沒空去大量嘗試創建出首尾相似的地址,加密貨幣錢包都是公開的,裡頭有多少錢、常常互動的地址等大家都看的到,錢包餘額愈高的就愈有可能被盯上。
某天我們做了一筆轉帳,釣魚集團偵測到後跟著也發出一筆 0 U 交易,時間很接近,首尾地址又相同,若沒細看很容易認錯,會以為這筆交易就是我們剛做過的交易。
接著如果有從交易紀錄複製地址的習慣,一旦從錯誤的交易複製,就 ... 中招了,接著就會親手轉幣給詐騙集團,過一陣子才發現錢包沒有收到幣,這時詐騙集團可能早已將收到的幣轉賣,再也追不回了。
零 U 地址投毒,簡單暴力的釣魚手法,核心原理是利用人們最常犯的錯誤:粗心大意。
如果你的錢包餘額不低,平常會為了追求方便而有時隨便,常粗心大意出錯,那你就是零 U 地址投毒的高風險對象。
最根本的預防方式:完整檢查地址 & 每次轉大額前都先小額測試。但這跟 "不要粗心" 是差不多一樣無效的建議,畢竟問題不是人不知道不要粗心,而是人很難做到不粗心。
實務上不太可能每次完整檢查地址,有時就是會忘記,或需要快速,最簡單又有效預防零 U 地址投毒釣魚的方式,是「白名單轉帳」。
這個功能其實除了我們常使用的交易所之外,鏈上錢包很多也都支援,以最常用的小狐狸 Metamask 錢包而言,就是建立聯絡人,未來每次轉帳不要再複製地址,而是從聯絡人清單點選。
右上 ⁝ 後選設定,進入聯絡人後即可新增聯絡人。
新增聯絡人的這一次操作,務必完整核對地址,核對這一次即可,未來轉帳都點選聯絡人,不要再使用複製貼上地址的方式,就能避免零 U 地址投毒釣魚,也能避開另一種攻擊手法:剪貼版病毒 (竄改複製貼上的內容)。
使用白名單地址轉帳好處多多,無論是錢包或交易所都強烈建議建立白名單地址清單。
完整預防零 U 地址投毒方式列表:
每次完整核對地址
不要從交易紀錄複製地址
每次轉大額前都先轉一筆小額測試
使用域名服務 (例如 ENS)
使用白名單地址 (聯絡人、地址簿)
如果平常使用的地址較多,如何快速辨別轉帳的地址是否正確?
可以透過像 Debank 這種鏈上資產工具來快速瀏覽要轉帳的地址是否正確,包含「鏈上資產組成」、「交易紀錄」都能夠清楚查看,幫助我們快速辨認 。
搶進 BNS 比特幣域名戰場!.btc 購買方式,域名 Ordinals 銘刻教學
錢包簽名釣魚詐騙是什麼?簽名資產馬上就歸零?Permit 簽名原理與防範
讓你的 Metamask 小狐狸錢包更安全|合約可讀性工具 Wallet Guard & Fire 介紹
東東
加密貨幣愛好者 | 2017 入圈,認為區塊鏈是下個世代的網路,期待區塊鏈與加密貨幣普及到日常生活的那一天。