解決中毒攻擊:它們是什麼以及如何保持安全


不要讓地址中毒攻擊毀了你的一天保護你的硬幣免受這個新的偷偷摸摸的加密貨幣騙局的侵害

2023 年初,一種新型的加密貨幣攻擊開始流行,簡稱為“地址投毒”。攻擊的前提很簡單:通過形成旨在混淆目標的交易來誘騙目標向攻擊者的地址發送資金。

該攻擊於2022 年12 月首次被發現,但此後頻率急劇增加,該騙局損失了大約5 到1000 萬美元——這一數字至今仍在增長。

BNB Chain 上的用戶至少有280 萬美元被盜,其中大部分以美元硬幣(USDC) 或Tether (USDT) 的形式存在。現在至少有1,000 名唯一用戶成為此次攻擊的受害者。

大多數主要的區塊鏈現在都被用來執行攻擊。迄今為止,已有數千萬活躍地址成為地址投毒攻擊的目標。

這個騙局有幾種精心策劃的方式。我們將在下面介紹兩個最常見的。

在第一個示例中,攻擊者創建了一個智能合約,該合約將金額為零的代幣發送到與受害者地址相似的地址。受害者第一次看到這筆交易時,他們可能不會太在意。但是,當受害者下次嘗試進行合法轉賬時,他們可能會無意中從Etherscan 或他們的錢包應用程序上的交易歷史記錄中復制釣魚地址,而不是預期的收件人地址。這個錯誤導致受害者將他們的加密貨幣轉移到攻擊者的地址。

該地址旨在與受害者的地址緊密匹配,第一個(通常是最後一個)幾個字符完全匹配。為了簡潔起見,這些通常是錢包和瀏覽器顯示的唯一字符。因此,大多數人只知道錢包的第一個和最後幾個字符。

在這種騙局的某些變體中,攻擊者使用虛假代幣合約並將大量所述代幣轉移給目標。這通常是流行代幣的假冒版本,例如USDT 或USDC。然後,攻擊者可以使用調用此令牌合約的transferFrom 函數的交易,使目標地址看起來將這些令牌中的0 個轉移到接收方(攻擊者的地址)。

這用於增加受害者復制最後一個接收者地址的機率,因為他們相信他們過去已經用這個地址進行過交易。

一些區塊瀏覽器現在默認隱藏這些交易,但許多應用內交易日誌和瀏覽器仍會顯示這些交易。

在第二個示例中,攻擊者創建了一個與受害者地址非常相似的虛榮地址。然後,他們將非常少量的加密貨幣發送到受害者的地址,希望受害者在區塊瀏覽器上檢查餘額,並在交易歷史記錄中看到攻擊者的地址。

攻擊者希望,當你在交易歷史記錄中看到你通常與之交互的代幣交易時,你可以復制收件人地址(認為這是你自己的地址),然後將資金發送到該地址。

如你所料,向數千個錢包發送少量資金可能會很昂貴。總的來說,攻擊者僅在對以太坊區塊鏈進行攻擊時就花費了數百萬美元的交易費用。

這些攻擊可能很難檢測到,因為交易看起來合法並且可能不會觸發任何警告。但是,受害者可以通過在發送任何加密貨幣之前始終仔細檢查收件人的地址來保護自己。

不幸的是,你無法採取任何措施來防止自己成為地址中毒攻擊的目標。攻擊者傾向於以定期和/或頻繁發送或接收大筆款項的任何人為目標。

如果你發現自己是地址中毒攻擊的受害者,你最好的做法是讓自己了解它們的工作原理,這樣你就不會成為其中的受害者。然後,最好簡單地忽略與地址中毒攻擊相關的事務。

除此之外,你還可以遵循一些交易衛生習慣,以最大程度地減少被騙的機會。這些包括:

設置警報:你可以使用多種工具設置警報,以便在你的地址與特定智能合約進行交易或交互時通知你。這些可用於確認你的日常交易(允許你忽略任何其他內容)或標記涉及你地址的可疑交易。創建聯繫人列表:地址中毒攻擊的工作原理是誘騙你將資金發送到你認為是你自己的錢包或你經常與之交易的人的錢包。你可以通過將你經常與之交易的錢包添加到你的聯繫人列表來完全消除成為這種攻擊受害者的風險。幾乎每個主要的數字貨幣包現在都有一個聯繫人列表或地址簿。使用可信來源:使用可信來源獲取收件人的地址。這可能包括使用官方網站、社交媒體賬戶或其他經過驗證的溝通渠道。避免點擊鏈接或使用從不受信任的來源獲得的地址,並且在沒有事先仔細檢查的情況下,切勿使用以前的交易來識別收件人的地址。使用名稱服務:名稱服務地址,例如由以太坊名稱服務(ENS) 或BSC 名稱服務(BNS) 提供的地址,可以提供額外的保護層,因為它們無法複製,而且它們的長度較短,因此更難被欺騙.

對於更技術性的解決方案,一些Web3 錢包允許你按合約地址過濾交易或僅將特定合約地址列入白名單。然後,你可以在其CoinMarketCap 硬幣詳細信息頁面上找到你的目標代幣的官方合約地址。熱門選項包括MyEther錢包(MEW) 和Exodus。

許多區塊瀏覽器會自動將這些交易標記為可疑或可能是網絡釣魚攻擊,但這通常需要一些時間。因此,它不是確定交易是否是地址中毒攻擊的可靠方法——特別是如果交易是最近的。

本文包含指向第三方網站或其他內容的鏈接,僅供參考(“第三方網站”)。第三方網站不受CoinMarketCap 的控制,CoinMarketCap 不對任何第三方網站的內容負責,包括但不限於第三方網站中包含的任何鏈接,或對第三方網站的任何更改或更新-派對現場。 CoinMarketCap 僅為方便起見向你提供這些鏈接,包含任何鏈接並不意味著CoinMarketCap 對該網站或其運營商的任何關聯的認可、批准或推薦。本文僅供參考,且必須僅供參考。在做出與所描述的任何產品或服務相關的任何重大決定之前,進行自己的研究和分析非常重要。本文無意且不應被解釋為財務建議。本文中表達的觀點和意見是作者的 [company’s] 擁有但不一定反映CoinMarketCap 的那些。 CoinMarketCap 不對任何項目的成功或真實性負責,我們的目標是充當最終用戶的中立信息資源。

資訊來源:由0x資訊編譯自COINMARKETCAP。版權歸作者所有,未經許可,不得轉載

Total
0
Shares
Related Posts