加密货币安全风险的警示
在2025年12月至2026年1月的两个月内,仅通过两次常规的复制粘贴操作,用户损失了6200万美元的加密货币。这一事件暴露出基本钱包使用习惯成为以太坊最大的安全风险之一。
事件回顾
ScamSniffer在2026年2月8日的推文中表示,一名受害者在2025年12月因将资金发送到一个从交易历史中复制的假地址而损失了约5000万美元。在2026年1月,另一名用户因同样的错误损失了大约1225万美元,相当于当时的4556个以太坊。
“两名受害者,6200万美元不翼而飞。”
这两起事件遵循了相同的模式:资金被发送到与真实地址相似的假地址,这些假地址悄悄地植入了受害者的近期活动记录中。地址中毒通过利用大多数用户与钱包互动的方式进行攻击。攻击者监控交易,生成与真实地址相似的虚假地址,并向潜在目标发送微小的“灰尘”转账。这些几乎为零的交易将假地址放入交易历史中。
攻击模式分析
有人在2026年1月因从交易历史中复制错误地址而损失了1225万美元。在2025年12月,另一名受害者也以同样的方式损失了5000万美元。与此同时,签名钓鱼攻击也激增——在4741名受害者中盗取了627万美元(较12月增长207%)。主要案例包括:
- 302万美元——通过恶意许可和增加授权的方式从SLVon和XAUt代币中盗取,
- 108万美元——通过类似技术从aEthLBTC中盗取。
这些攻击依赖于看似常规的欺骗性交易提示。一旦用户签署这些提示,骗子便可以长期访问代币,并在无需进一步批准的情况下提取资金。
安全建议与未来展望
安全分析师表示,这些方案之所以成功,是因为它们针对的是在日常交易中形成的习惯,而不是协议中的技术弱点。“大多数受害者并不是粗心大意,”一位研究人员私下表示。“他们只是做了数百次之前做过的事情。”
ScamSniffer和其他公司呼吁用户避免从交易历史中复制地址,手动验证完整的钱包字符串,并在频繁转账时使用保存的联系人。随着交易成本保持低位和自动化水平的提高,分析师预计地址中毒和签名钓鱼将持续构成威胁。在更好的工具和习惯尚未普及之前,基本的操作失误可能会继续导致巨额损失。
