本文 Hash (SHA 1): 221158eb736fa9ed3c6fb54451647bd73ca362c7
編號:鏈源科技 PandaLY Anti-Fraud Guide No.003
隨著 9 月聯準會宣布減息 50 個基點(50 BP),引發了加密市場的大規模交易熱潮,鏈上交易資料瞬間暴增。在市場的強烈波動中,投資人爭相調整自己的資產組合,試圖抓住這個機會獲得更高報酬。然而,伴隨這場交易浪潮而來的不僅是財富成長的機會,更是潛伏在暗處的安全威脅。 PandaLY 安全團隊發現,隨著交易量的飆升,駭客也在暗中活躍,利用投資者在高頻交易時的疏忽,偽造錢包地址騙局呈現出爆發式增長。
我們近期接獲的安全案件中,偽造錢包地址的詐騙案例佔比急遽上升。這類騙局透過精心偽造與用戶真實錢包地址後幾位相似的虛假地址,誘使用戶在鏈上轉移時不慎將資金轉入黑客控制的錢包。由於許多用戶依賴記憶錢包地址的後幾位,或習慣從歷史交易記錄中複製地址進行轉賬,這給了黑客可乘之機,導致大量資金在不知不覺中落入騙子手中。
這現象的背後,除了市場波動激烈以外,還有幾個關鍵因素。首先是投資人在鏈上轉帳時的操作習慣使得這類騙局極具迷惑性,尤其是在鏈上交易資料暴增的情況下,使用者常常缺乏仔細核對的時間和精力。其次,這些駭客技術手段日益精進,能夠快速產生偽造地址,甚至精確匹配到與用戶錢包前幾位或後幾位相同的地址,進一步增加了騙局的隱蔽性。
因此,為了幫助投資人在這一波市場熱潮中安全轉帳、有效規避騙局,PandaLY 安全團隊將詳細解析這類騙局的運作機制,並揭示背後的技術原理。同時,我們也將為大家提供一套切實可行的防範指南,幫助您在高頻次交易中保護自己的數位資產不受侵害。
一、偽造錢包地址詐騙的技術原理
錢包位址生成機制
在區塊鏈交易中,錢包地址是用戶的身份標識,每個地址都是唯一的,這確保了交易的安全性和不可篡改性。然而,生成具有特定字元的錢包地址並不如想像中那麼複雜。以以太坊網路為例,每個錢包位址的字元是一個16 進位數字(0-9 與AF),這意味著如果駭客要產生一個結尾N 個字元相同的錢包位址,其成功的機率為16的N 次方分之一。
雖然這個機率看似極低,但對於駭客來說,借助腳本和計算能力,他們可以輕鬆透過遍歷法產生這些偽造地址。例如:
4 位元相同的位址產生的機率是 1/65536 ,利用普通的計算設備和腳本,在幾秒鐘內就可以產生。
5 位元相同的位址機率為 1/1048576 ,雖然難度增加,但使用適當的腳本和較高效能的設備,仍然可以在較短時間內產生。
7 位元相同的位址機率僅為 1/268435456 ,駭客需要更強大的運算能力和更長的遍歷時間,但從技術上並非不可實現。
根據近期的統計,PandaLY 安全團隊分析了一些偽造地址的案件,發現其中大多數駭客產生的偽地址與目標地址後 5 至 7 位相同。這些偽地址的產生往往透過簡單的遍歷法,駭客只需幾小時甚至幾天的時間,即可產生足夠多的偽造地址庫,從中選擇目標進行詐騙。
駭客的偽錢包生成策略
駭客的攻擊策略非常有針對性,通常他們會選擇高淨值用戶作為目標,尤其是那些經常在鏈上進行大額轉賬,且在多個錢包之間頻繁交互的用戶。這些用戶一旦被盯上,駭客就會開始部署偽造錢包地址,並持續監控這些目標用戶的交易行為。
駭客的攻擊步驟大致如下:
1 確定目標:駭客會透過鏈上資料分析工具篩選出經常進行大額交易的帳戶,尤其是那些擁有多個互動地址的使用者。
2 產生偽位址:駭客使用遍歷法產生與目標位址後幾位相同的錢包位址。通常,駭客會產生多個偽造地址,以確保能覆蓋目標用戶常用的錢包。
3 鏈上監控:駭客即時監控目標帳戶的交易動態。當目標帳戶進行資金轉移時,駭客會立即使用偽地址進行金額相同的轉賬,以偽造相似的交易記錄。
4 迷惑用戶:當用戶在進行下一次轉帳時,往往會從歷史交易記錄複製錢包位址。如果用戶僅依靠記憶或簡略檢查地址的後幾位,就極有可能不慎將資金轉入駭客偽造的錢包。
這種攻擊策略極具迷惑性,尤其是在交易高頻的情況下,使用者的防範意識通常較低,更容易被偽造地址混淆。而一旦資金轉入偽造錢包,追蹤和追回的難度極高,往往會對用戶造成不可逆的損失。
二、騙局解析
根據 PandaLY 安全團隊的最新數據顯示,隨著鏈上交易量的激增,偽造錢包地址騙局在近期頻繁發生,特別是在以太坊和 TRON 等高交易量網絡上。偽造錢包地址詐騙案件在過去一個季度中增加了 45% ,其中受害者多為高頻交易用戶。這類用戶的受騙率比一般用戶高出 35% ,而這些受害者往往是在短時間內進行多筆轉帳時,誤將資金轉入偽造地址。
在這些案件中,約 60% 的偽造地址與目標地址的後 5 至 6 位數字相同,甚至有 25% 的偽造地址與目標地址的後 7 位相符。這種高匹配度極具迷惑性,使得用戶容易誤判,將資金誤轉入駭客控制的錢包。而一旦資金被轉入偽地址,追回難度極大,目前此類案件的資金追回率僅為 15% ,這也進一步凸顯了防範措施的重要性。
透過對典型案件的深入分析,PandaLY 團隊發現,駭客通常會利用鏈上監控工具來精準捕捉目標用戶的交易時機,並偽造看似相同的交易記錄,混淆用戶的判斷。特別是那些頻繁進行大額交易的用戶,往往在緊急情況下只會檢查錢包地址的後幾位,從而陷入騙局。
騙局實施流程
偽造錢包地址騙局的核心在於,駭客透過技術手段產生與目標地址部分字元相同的偽造地址,混淆用戶的判斷。當用戶在進行鏈上轉帳時,通常依賴歷史交易記錄中的錢包位址快速複製功能,這就給了駭客機會。
具體流程如下:
1.駭客鎖定目標用戶:目標用戶通常為經常進行大額鏈上交易的用戶。
2.產生偽造地址:駭客透過腳本遍歷,產生與目標地址後幾位相同的錢包地址。
3.監控交易行為:駭客即時監控目標帳戶的鏈上交易,當用戶發起交易時,駭客同步發起相同金額的交易,混淆記錄。
4.用戶誤操作:當用戶進行下次轉帳時,很可能只核對錢包地址的後幾位,導致複製偽造地址並誤將資金轉入黑客的錢包。
地址毒化攻擊
另外由於加密資產轉帳的物件是一串位址哈希,用戶一般會使用錢包或瀏覽器提供的位址複製功能來貼上輸入轉帳對手方錢包位址。由於區塊鏈瀏覽器和web3錢包頁面一般不會顯示交易雙方的全地址,而是顯示首位地址中間用省略號隱去,如果釣魚地址與真實交易對手方地址首尾相同,受害者容易誤把釣魚地址當作自己真正要互動的地址進行交易。
在進行地址毒化攻擊時,攻擊者會監聽鏈上的穩定幣(如USDT、USDC)或其他高價值代幣的交易訊息,使用靚號產生器(如Profanity 2)等工具,快速產生與受害者地址首尾字元相同的釣魚地址。
根據發動攻擊交易的原理不同,地址毒化釣魚可分為以下三類:
零轉帳釣魚
零轉帳攻擊利用了 transferFrom 函數對授權額度的判斷條件。當轉移的代幣數量為零時,即使未獲得發送方的授權,交易仍可成功進行並發出代幣轉移的事件日誌。區塊鏈瀏覽器和錢包監聽到這起事件,便會將這筆代幣轉移交易顯示在用戶的交易歷史中。
轉帳發起方地址為受害者本人地址,接收方地址則是與真實接收方地址首尾相同的釣魚地址[ 21 ]。受害者下次轉帳時如果粗心大意,直接複製歷史交易的地址,就很容易錯誤複製到駭客準備的釣魚地址,從而將資金轉錯帳。
針對這種最基礎的地址投毒攻擊,我們只需識別出轉帳代幣數量為零的交易即可。
為了繞過錢包和區塊鏈瀏覽器對零值轉帳的檢查,小額轉帳釣魚和假幣釣魚出現了。
小額轉帳釣魚
小額攻擊是零值轉帳釣魚的變種。與假幣攻擊不同的是,小額攻擊使用的是真實的價值代幣,可以繞過假幣檢查,但其轉移代幣數量往往不足1 美元,為真實交易的百萬分之一甚至更少,有時為了讓釣魚交易與真實交易歷史記錄看起來更相似,釣魚攻擊者會精心設計轉帳金額,將真實交易金額的千位分隔符號替換為小數點。
釣魚攻擊者用首尾相同的仿冒地址給目標受害者發送具有以上數量特徵的假幣,從而使用戶誤以為釣魚地址為真正的轉賬發起方地址,並在之後的交易中復制該地址向其轉賬。
假幣釣魚
一般的區塊鏈瀏覽器和錢包在顯示代幣轉帳歷史時,會使用代幣合約中的 Symbol 變數的值作為幣種名稱。假幣攻擊利用了ERC-20 協議代幣的Symbol 可以任意定義的特點,將欺詐代幣合約的Symbol 字符串設置為與USDT/WETH/USDC 等高價值代幣或穩定幣相同的字符串,並用首尾相同的高仿地址會寄給目標受害者與真實歷史交易數量相同的假幣,使用戶誤以為釣魚地址為真正的轉帳發起方地址,並在之後的交易中複製該地址向其轉帳。
此外,為了節省燃料費(特別是在以太坊等 gas 費較貴的鏈上),地址毒化攻擊的詐欺者一般會部署一個釣魚合約,在一次交易中向多個受害者轉移代幣。
用戶為何容易中招?
當用戶經常使用鏈上瀏覽器來尋找交易記錄時,常常只依賴錢包位址的後幾位來快速確認,這成為駭客利用的主要漏洞。由於交易速度和頻率的要求,用戶往往忽略完整核對地址,特別是在進行多次相似交易時,更容易將資金誤轉入駭客產生的偽造地址。
這類詐騙手法利用了使用者操作中的「簡化」習慣,而這看似有效率的操作方式其實極具風險。為了防範此類風險,用戶在進行每一次轉帳時都應全面核對錢包地址,切勿僅憑地址後幾位進行快速確認。
三、防範偽造錢包地址騙局的措施
1.不要只憑記憶匹配錢包地址
在區塊鏈交易中,用戶的操作習慣往往會為駭客創造可乘之機。很多人在頻繁使用某個錢包位址時,會依賴記憶來核對地址的後幾位數字。表面上看,記住地址的前幾位或後幾位似乎是簡化交易的便捷方式,尤其是在用戶習慣快速操作時。然而,這種習慣極其危險,駭客正是利用這種使用者的「懶惰」心理,透過產生與目標地址部分字元相似的偽造地址,從而欺騙用戶。
不僅如此,駭客甚至可以透過技術手段產生前後都與目標位址相同的偽地址,從而進一步增加迷惑性。僅核對地址的前幾位或後幾位數字已經不足以保證安全。駭客會透過監控鏈上活動,快速部署相似地址,並在目標用戶轉帳時「下手」。
因此,最穩健的做法是每次轉帳時都仔細核對整個地址,尤其是在進行大額交易時,確保所有字元都一致。還可以使用安全插件或自動化工具,減少人工操作的潛在錯誤。此外,定期更新交易流程並提醒自己注意細節,是避免因疏忽而中招的重要步驟。
2.使用白名單功能
為因應頻繁交易中的地址混淆問題,許多主流錢包和交易平台推出了「白名單」功能,這是一項極為有效的安全措施。透過白名單功能,使用者可以將常用的收款地址保存起來,以避免每次交易時手動輸入地址,從而減少人為輸入錯誤或被偽地址欺騙的風險。
在交易平台上,例如 Binance 或 Coinbase,使用者可以將收款地址提前設定為固定地址,並且啟用白名單功能後,未經授權的新地址將無法新增。這樣即使駭客試圖利用釣魚攻擊竄改地址,資金也會安全地轉入白名單中的預設地址。
對於去中心化錢包(如 MetaMask),白名單功能同樣重要。使用者可以透過儲存常用地址,避免每次轉帳都需要重新輸入長串的地址字符,減少誤操作的可能性。此外,在鏈上交易時,透過這種白名單機制,用戶可以在較短時間內快速核對和使用已驗證的地址,確保每筆交易的安全。
白名單功能不僅有效防止了使用者的手動失誤,也為高頻交易者提供了便利和安全的操作體驗。定期維護和更新白名單,刪除不常用或有風險的地址,也是提高安全性的關鍵。
3.購買 ENS(以太坊網域服務)地址
ENS(以太坊網域服務)是一項創新的技術,它允許用戶將複雜的以太坊錢包地址綁定到簡短易記的網域上。這為使用者提供了一個極為便利且安全的解決方案,特別是在需要頻繁輸入位址時。透過將錢包位址對應到一個易記的 ENS 網域(如「mywallet.eth」),用戶無需再逐字輸入長達 42 位元的以太坊位址,避免了因手動輸入錯誤而導致資金損失的風險。
然而,ENS 域名並非永久有效。每個 ENS 地址都有有效期限,使用者需要定期續約,確保網域的長期使用權。如果網域過期未續約,其他人可以搶注該 ENS 地址,進而導致用戶的交易安全受到威脅。一旦 ENS 地址被他人註冊,所有與該 ENS 網域綁定的交易地址都可能指向駭客的錢包,造成資金損失。因此,用戶在購買 ENS 網域後,需設定續約提醒,確保在有效期限前及時續約,以避免地址被他人搶註。
同時,雖然 ENS 極大簡化了地址管理,但它也帶來了新的安全隱患。如果駭客搶注了知名或常用 ENS 地址,可能會將其用於釣魚活動。因此,使用者應仔細選擇購買 ENS 域名,並定期檢查其有效性和綁定的地址資訊。
總的來說,ENS 不僅是一種提升使用者體驗的工具,也可以作為一種安全措施,但使用時仍需注意續約和維護問題,以防範潛在的安全風險。透過合理使用 ENS,使用者可以顯著降低轉帳時輸入錯誤的可能性,提升交易的安全性。
結語
總而言之,隨著加密市場的波動加劇,投資者在追逐高回報的同時也面臨前所未有的安全風險,特別是偽造錢包地址騙局的氾濫。駭客透過產生與真實地址極為相似的偽造地址,利用投資者的操作習慣和疏忽,將大量資金轉移至他們的控制之中。 PandaLY 安全團隊呼籲,投資者應避免依賴記憶匹配或複製歷史記錄中的地址,並始終仔細檢查每個字元。同時,合理利用白名單功能、ENS 地址等安全工具,加強資金的保護措施。安全投資並非高收益的盲目追求,而是對每個細節的嚴密防範。提高警惕,完善操作習慣,才能在充滿機會與風險的加密市場中,實現資產的穩健增值。
鏈源科技是一家專注於區塊鏈安全的公司。我們的核心工作包括區塊鏈安全研究、鏈上資料分析,以及資產和合約漏洞救援,已成功為個人和機構追回多起被盜數位資產。同時,我們致力於為產業機構提供專案安全分析報告、鏈上溯源和技術諮詢/支援服務。
感謝各位的閱讀,我們將持續專注分享區塊鏈安全內容。