地址投毒為何無需竊取私鑰也能奏效?

2026年2月26日

地址投毒透過在你的交易歷史中加入虛假的紀錄，讓你誤將資金發送到詐騙者的地址，從而達到詐騙目的。

要點總結

多數加密貨幣用戶認為，只要守好自己的私鑰，資金就能安全無憂。然而，越來越多的詐騙證明，事實並非如此。詐騙者利用一種隱蔽手法——地址投毒，在無需取得受害者私鑰的情況下竊取資產。

2026年2月，一起網路釣魚事件針對Phantom Chat功能發動。攻擊者運用地址投毒方式，成功竊取約3.5枚Wrapped Bitcoin (wBTC)，價值超過264,000美元。

2025年，一名用戶因複製了一個被投毒的地址，損失了價值5000萬美元的Tether USDt（USDT）。此類事件凸顯了介面設計不佳以及日常操作習慣如何導致巨額損失。

幣安聯合創辦人趙長鵬（CZ）等加密貨幣業界代表人物已公開呼籲錢包服務商，在經歷多起地址投毒事件後提升安全防護措施。

本文將說明地址投毒詐騙如何利用用戶習慣，而非私鑰竊盜。文章梳理了攻擊者如何操作交易歷史、此手法在透明區塊鏈上得逞的原因，以及用戶和錢包開發者可採取哪些具體措施降低風險。

有別於以往直接攻破私鑰或代碼漏洞的攻擊，地址投毒是透過竄改用戶的交易歷史，誘使其將資金誤轉到錯誤地址的詐騙手法。

這類攻擊通常分為以下幾步：

受害者的錢包與私鑰始終未遭觸及，區塊鏈加密機制未被破壞。詐騙完全依靠人為疏忽與對習慣操作的信任而成立。

你知道嗎？地址投毒詐騙隨著以太坊Layer 2網絡興起而激增，低廉的手續費讓攻擊者得以一次向成千上萬個錢包發送灰塵轉帳。

加密地址為冗長的十六進位字串，以太坊相容鏈地址通常為42位。錢包介面多以截斷格式顯示，如“0x85c...4b7”，這給詐騙者帶來可乘之機。被偽造的地址往往首尾字元完全一致，僅中間部分不同。

合法地址（範例格式）：

0x742d35Cc6634C0532925a3b844Bc454e4438f44e

被投毒的相似地址：

0x742d35Cc6634C0532925a3b844Bc454e4438f4Ae

詐騙者透過自訂地址產生器偽造近乎相同的字串，僅藉由灰塵轉帳將假地址嵌入受害者的交易歷史。對一般用戶來說，粗略一看很容易信以為真，尤其多數人不會逐字比對完整地址。

你知道嗎？部分區塊鏈瀏覽器已自動標記可疑灰塵交易，協助用戶在操作交易歷史前及時發現潛在投毒行為。

導致地址投毒成效極高的主因錯綜複雜：

人類對長字串的天生限制：地址既不直觀也不易識別，用戶習慣僅憑首尾“掃一眼”方式，詐騙者精準利用這點弱勢。
錢包便利功能也暗藏風險：許多錢包在近期交易旁設有一鍵複製按鈕，雖利於日常操作，但若混入垃圾交易便埋下風險。調查者如ZachXBT就曾指出，實際案例中受害者經常直接從錢包UI複製了被投毒的地址。

3. 不需要技術漏洞：區塊鏈公開且無須許可，任何人都能對任意地址發送代幣。錢包普遍會顯示所有入帳與垃圾交易，用戶常信任自己過往的交易歷史。

易受攻擊之處在用戶行為與介面體驗（UX），而非密碼學或私鑰安全。

私鑰負責交易簽章授權，確保只有本人能操作帳戶。然而，私鑰無法判斷目標地址的真偽。區塊鏈核心特色——無需許可、不可逆轉與最小信任——意味著只要惡意交易一旦上鍊就是無法撤銷。

這類詐騙中，係用戶主動簽署完成轉帳。系統完全按設計運作，最大薄弱點來自用戶的判別失誤。

背後心理和互動設計問題包含：

你知道嗎？有些攻擊者利用GPU加速的自訂地址產生工具，短時間內即可自動產生成千上萬個相似錢包地址，大幅提升詐騙效率。

儘管地址投毒利用的是行為偏差而非技術漏洞，只要微調轉帳習慣即可大幅降低受害風險。掌握以下實用方法，能讓加密用戶無需高深技術也能有效避開巨額損失。

養成基本核對習慣、規範交易流程，將顯著降低遇上地址投毒詐騙事件的機率。

優化介面設計及內建防護機制，能大幅減少用戶誤操作，使地址投毒攻擊難以得手。

Cointelegraph 始終維持完全的編輯獨立性。Features 與 Magazine 內容的選擇、委託及發布不受廣告商、合作夥伴或任何商業關係的影響。