交易员遭「地址投毒攻击」！近 5 千万 USDT 白白送给骇客

看似简单、却屡屡得手的「地址投毒攻击（Address Poisoning Attack）」近来频频发生，日前就有一位加密货币交易员因误入这类陷阱，短短半小时损失近 5 千万美元 USDT，虽然事后开出 100 万美元的「白帽赏金」求攻击者归还资产，但在失窃资产已流入混币平台的情况下，追回希望渺茫。

根据链上数据分析平台 Lookonchain 追踪，这起事件发生在 12 月 20 日，受害者当时正从币安（Binance）提领资产，并打算转移到个人钱包。

A victim (0xcB80) lost $50M due to a copy-paste address mistake.

Before transferring 50M $USDT, the victim sent 50 $USDT as a test to his own address 0xbaf4b1aF…B6495F8b5.

The scammer immediately spoofed a wallet with the same first and last 4 characters and performed an… pic.twitter.com/eGEx2oHiwA

— Lookonchain (@lookonchain) December 20, 2025

依照多数大额转帐的安全惯例，受害者先行发送 50 枚 USDT 作为测试交易，确认地址无误。然而，就在这笔小额转帐完成后，攻击者操控的自动化脚本，立刻生成一个「伪装地址（Spoofed Address）」，且地址前 5 码与后 4 码，与受害者原本的收款地址完全相同，仅中间字符有所差异。

接著，攻击者刻意使用「伪装地址」向受害者钱包发送数笔小额交易，以便让「毒地址」出现在受害者的交易历史清单中，等到受害者要转移剩下的 4,999 万美元时，为了图方便，就直接在交易纪录中点选了这个高度相似的诈骗地址。

由于多数钱包介面为了方便阅读，会将中段字元以「……」省略显示，这使得两组地址在视觉上几乎难以分辨。

区块链浏览器 Etherscan 显示，测试转帐发生在 UTC 时间 3:06，而真正造成巨额损失的转帐，则在约 26 分钟后的 3:32 发生。

资安业者慢雾科技（SlowMist） 指出，这位攻击者是名副其实的「洗钱老手」。在收到近 5,000 万美元的 USDT 后，仅花不到 30 分钟就完成以下步骤：

• 跨币种闪兑： 先透过 MetaMask Swap 将 USDT 换成 DAI 。专家分析，这是为了规避 Tether 的黑名单冻结机制，因为去中心化稳定币 DAI 并没有这种中心化的控制措施。
• 混币匿踪： 攻击者随即将 DAI 换成约 16,690 枚以太币，并其中 16,680 枚转入混币器 Tornado Cash，彻底切断币流追踪路径。

为了挽回损失，受害者已透过链上讯息，向诈骗者提出条件：愿意支付 100 万美元白帽奖金，换取归还 98% 的资产。

受害者更明确警告：「我们已正式报案，并在执法部门、资安机构及多个区块链协议的协助下，掌握了大量有关你具体行动的情资。」

这起案件只是今年币圈资安风暴的冰山一角。根据 Chainalysis 最新报告，2025 年加密货币失窃总额已突破 34.1 亿美元，刷新历史纪录。

值得关注的是，Casa 共同创办人 Jameson Lopp 警告，「地址投毒」已在各大区块链扩散，光是在比特币网络上就发现超过 4.8 万起类似攻击。他强烈呼吁钱包业者应开发「相似地址警告」功能，在用户复制贴上时弹出警示，防止这类人为疏忽导致的悲剧重演。