CZ对Etherscan的批评
CZ指责Etherscan展示地址中毒诈骗的垃圾交易,认为区块浏览器应该完全过滤掉这些恶意转账。前币安首席执行官在社交媒体X上发文称,TrustWallet已经实施了这种过滤,而Etherscan仍然显示那些淹没用户钱包的零价值中毒交易。
用户Nima的遭遇
这一批评源于一起事件,一名用户Nima在进行两笔稳定币转账后,在不到30分钟内收到了89封地址中毒的电子邮件。Etherscan对此次攻击发出了警告,称该攻击旨在诱使用户在发送资金时复制交易历史中的相似地址。Nima在自动化攻击活动针对他的钱包后警告道:
“很多人会成为受害者。”
他认为,区块浏览器不应该显示这些垃圾交易,完全过滤掉这些交易应该是简单的事情。
Etherscan的回应
Etherscan已澄清,默认情况下会隐藏零价值转账,但BscScan和Basescan要求用户明确点击“隐藏零金额交易”按钮才能移除地址中毒攻击交易。默认设置的差异使一些用户暴露在查看垃圾交易的风险中,这可能导致他们将资金发送到攻击者控制的地址。
未来的影响与AI的应用
CZ指出,这种过滤可能会影响未来AI代理之间的微交易,并建议可以利用AI来区分合法的零价值转账和垃圾交易。Favezy博士指出,交易所的交换操作带来了超出地址中毒的额外风险。
交易所的风险
昨天,从0x98钱包进行的一笔5000万美元的交换仅变成了36000美元,引发了对路由和流动性来源选择的担忧。Favezy写道:
“我真的希望AI代理能够通过正确的路由器和最佳流动性来源进行路由,以避免这种情况。”
攻击机制
该攻击通过使用transferFrom函数发起零价值代币转账。攻击者发送零价值代币以创建在受害者交易历史中出现的转账事件。每个地址默认允许零价值批准,从而允许事件的发出。攻击者随后结合地址伪造,增加受害者复制错误转账地址的可能性。伪造的地址与合法地址的首尾字符匹配。
总结
Nima的案例显示了这些攻击可能达到的规模,在仅进行两笔合法转账后,30分钟内就有89次中毒尝试。由于自动化的特性,攻击者可以在检测到链上稳定币或代币移动时,同时针对成千上万的地址。
