Phantom 加密錢包內建的訊息功能因一名投資人在一場被調查人員認定為由地址投毒導致的網路釣魚攻擊中損失約26.4萬美元的錨定比特幣,引發安全研究人員關注。
區塊鏈調查員 ZachXBT 分享了區塊鏈資料,顯示受害者在與 Phantom Chat 有關的疑似釣魚攻擊中損失了3.5枚錨定比特幣(wBTC)。
資料顯示,週三有一筆3.5枚wBTC的轉帳從地址“0x85c”流向地址“0x4b7”,該地址在區塊鏈情報平台Nansen上被標記為“高餘額”地址。這一交易模式與地址投毒手法一致,該釣魚技術利用使用者的交易歷史而非竊取私鑰。
詐騙分子會先向受害者發起小額交易,誘使用戶在複製貼上轉帳地址時無意中選取了攻擊者的地址,從而將加密貨幣轉入非法錢包。
ZachXBT 呼籲 Phantom 升級使用者介面,稱訊息功能為“資產流失的新手段”,同時警告該應用的使用者介面未篩選垃圾交易,容易導致用戶成為地址投毒詐騙的受害者。
X 用戶 Kill4h 亦回報稱,自己透過訊息功能遭遇了兩次地址投毒攻擊,並分享了兩筆鏈上交易的截圖,金額分別為136美元和101美元的 USDC(USDC)。
這一不幸事件再次提醒加密錢包用戶體驗對投資人安全至關重要。
包括幣安聯合創辦人趙長鵬在內的加密產業知名人士,曾在2025年12月有投資人因地址投毒詐騙損失5000萬美元後,呼籲提升錢包安全措施以防止釣魚。
“所有錢包應當直接檢測收款地址是否為‘投毒地址’,並阻止用戶操作。這可以通過區塊鏈查詢實現。”趙長鵬在去年12月一篇博客文章中寫道,並補充:
“最後,錢包甚至不應在任何介面顯示這些垃圾交易。如果交易金額很小,就應直接篩除。”
為防範常見加密詐騙,Phantom 建議用戶預設將轉入錢包的任何未經請求的代幣或NFT視為詐騙的一部分,並強烈建議用戶切勿點擊付費 Google 搜尋結果或社交媒體平台上承諾免費空投的連結。
Cointelegraph 已聯繫 Phantom,了解其對此事件的回應與未來使用者介面升級的相關細節。
Phantom 於去年12月23日宣布在其代幣、永續合約和預測頁面上線即時對話功能。
加密投資人亟需提升鏈上安全操作:資安專家建議
網路安全公司 Hacken 的 Extractor 團隊指出,雖然加密應用的垃圾過濾功能可降低地址投毒攻擊風險,但用戶應避免直接從交易紀錄中複製錢包地址。
“Web3 用戶必須維護收款地址的唯一資料來源(地址簿/列表)。”
Hacken 還提到,1月30日,一家與 Galaxy Digital 關聯的錢包遭遇1230萬枚以太坊(ETH)的地址投毒攻擊,提醒即便是機構參與者也可能成為此類詐騙的受害者。
雖然改善用戶交易操作有助於規避這類風險,但整個加密產業仍需預警類安全提示機制徹底杜絕投毒攻擊,區塊鏈網路安全公司 Cyvers 執行長 Deddy Lavid 在接受 Cointelegraph 採訪時表示:
“真正的保護需要在交易前進行風險檢查、檢測地址相似性,並在用戶簽名前提供明確警告。”
這位執行長還表示,用戶也可選擇具備即時“防火牆式安全模擬”功能的錢包,可在執行前顯示交易如何發生。
目前,Rabby Wallet、Zengo Wallet 以及 Phantom Wallet 等錢包已能在批准前為用戶篩查惡意交易。
