加密货币攻击者为窃取资金屡出新招,近期一种最常见的诈骗手法便是「零U投毒」(Zero Transfer),黑客企图通过建造首尾相同的地址来迷惑使用者,使粗心大意的使用者转错钱包地址,近而造成资金损失。
币安内部地址遭「零U投毒」
由于零U投毒成本相当低且高回报,据Dune Analytics数据显示,自去年10月以来,以太坊上因零U投毒攻击,已损失超过2,136万美元,甚至连交易所龙头币安(Binance)的内部地址都在近日遭遇攻击。
币安创办人赵长鹏(CZ)转发一则贴文表示,他们昨天也遇到诈骗事件(幸运地未成功),差点损失2,000万美元,因此希望通过分享经验来避免类似的诈骗发生:诈骗者的手法越来越高明,他们现在生成的地址以相同的开头和结尾字母开始,这也是大多数人在进行加密货币转账时检查的方式。实际上,许多钱包会因UI美观度,将地址的中间部分隐藏起来,用“…”代替。接着,诈骗者会使用这个地址向你发送微小的交易,以便在你的钱包中显示该地址。你可能会随便选择之前的某个交易,然后复制地址,进而复制到错误的地址。这就是昨天发生的事情,即使对方是一位经验丰富的加密货币操作者。
幸运的是,CZ表示操作员在完成交易(转账2000万USDT)后立即发现了错误,币安已及时向Tether请求冻结USDT,现在需要一些程序,包括提交警方报告,才能收回资金。但至少,这些资金不会被诈骗者拿走了。
Metamask建议5招自保
虽然零U投毒攻击的手法简单,但特别容易成功,为了防范受骗上当,Metamask曾在今年1月提醒,建议用户可遵循以下5点安全建议:
在转账前务必多次确认地址,尤其是涉及金额较大时,检查每个字符是确保安全的唯一方法
避免从历史交易复制地址的行为
使用冷钱包,通常会再次提醒用户检查转账地址
将常用地址添加至地址薄
考虑先进行一笔测试交易
以太坊共同创办人Vitalik Buterin则建议,用户可使用ENS地址,减少检查地址时的麻烦,他提到「消除此攻击的另一种解决方案是使用ENS域名,如Bob.eth或Alice.eth,这样就不必检查所有十六进制的字节」。