一名受害者在三小時內遭遇了兩次詐騙,總共損失了250萬美元的穩定幣。
根據加密合規公司Cyvers在5月26日分享的數據,該受害者先後發送了價值84.3萬的泰達幣(USDT),約三小時後又發送了260萬USDT。Cyvers表示,這一詐騙使用了所謂的零值轉帳方法,這是一種複雜的鏈上釣魚形式。
來源: Cyvers警報
零值轉帳是一種鏈上釣魚技術,它濫用代幣轉帳功能來欺騙用戶向攻擊者發送真實資金。攻擊者利用代幣的transferFrom功能,將零枚代幣從受害者錢包轉移到一個偽裝地址。
由於轉帳金額為零,因此不需要受害者私鑰的簽名就可以包含在鏈上。因此,受害者會在其交易歷史中看到這筆出帳交易。
受害者可能會信任這個地址,因為它包含在他們的交易歷史中,誤以為它是一個已知或安全的接收方。然後,他們可能會在未來的交易中向攻擊者的地址發送真實資金。
在一個備受關注的案例中,一名使用零值轉帳釣魚攻擊的詐騙者成功竊取了價值2000萬美元的USDT,隨後在2023年夏天被該穩定幣發行方列入黑名單。
地址污染的高級形式
零值轉帳被認為是地址污染的一種演變——這是一種策略,攻擊者從一個與受害者真實地址非常相似的錢包地址(通常具有相同的開頭和結尾字符)發送少量加密貨幣。其目的是誘使用戶在未來交易中不小心複製並重複使用攻擊者的地址,從而導致資金損失。
該技術利用了用戶在發送加密貨幣時通常依賴部分地址匹配或剪貼簿歷史的習慣。具有相似開頭和結尾字符的自定義地址也可以與零值轉帳結合使用。
跨區塊鏈威脅不斷增長
2025年1月的一項研究發現,在2022年7月1日至2024年6月30日期間,BNB鏈和以太坊上發生了超過2.7億次污染嘗試。其中,6000次嘗試成功,導致損失超過8300萬美元。
該報告發布之際,加密網路安全公司Trugard和鏈上信任協議Webacy宣布推出一套基於人工智慧的系統,用於檢測加密錢包地址污染。這款新工具據稱在已知攻擊案例中的成功率高達97%。