数字货币买卖员遭遇复杂的地址投毒骗局，损失 5000 万USD

一名数字货币买卖员在一次复杂的地址投毒攻击中，不慎将资金转移到了诈骗分子控制的钱包，损失了近 5000 万USD的 美元T。

依据链上剖析公司 Lookonchain 的买卖员从该公司提取了近 5000 万USD的 美元T。Binance12月20日，这笔资金将转入买卖员的个人钱包。

为安全起见，受害者第一发送了一笔 50 美元T 的小额测试买卖。这一步骤被广泛觉得是最好实践，允许用户在转移大笔资金之前确认地址的准确性。然而，这一预防手段却意料之外地成了攻击者所需要的机会。

地址投毒事件始末

安全公司讲解说，测试转账完成后，攻击者立即部署了一个自动脚本，生成了一个与预期收款人地址很一样的欺诈性钱包地址。

伪造的地址与合法钱包地址的前五个字符和后四个字符完全一致。重点在于，差异仅出目前中间部分。很多钱包界面为了提高客户体验，会用省略号遮盖这部分内容。但这会减少信息的可见性，并增加用户的困惑。

为了加大欺骗，攻击者用不真实地址向受害者发送小额买卖。这一举动将欺诈地址添加到受害者的买卖记录中，使其看着熟知且值得信任。

一个简单的复制粘贴错误，却导致了巨大的后果

ETHscan数据显示，初始测试买卖发生在UTC时间3:06。大约26分钟后，即UTC时间3:32，受害者转移49,999,950 美元T。

调查职员觉得，买卖员直接从买卖记录中复制了目的地址。不幸的是，受害者并不了解复制的地址是攻击者，而非目的钱包。因此，这一个错误就致使了骗局的最后失败，资金控制权也随之永久转移。

失窃资金在几分钟内被洗白

依据区块链安全公司 SlowMist 指出，攻击者在收到资金后飞速采取行动。短短 30 分钟内，攻击者就借助 MetaMask 的 Swap 功能将所有 美元T 余额兑换成了 D人工智能。

这次转型是方案性的。系绳可以冻结与非法活动有关的 美元T，D人工智能 没集中执法机制。

买卖完成后，攻击者将 D人工智能 兑换成约 16,690 个 以太币。随后，约 16,680 个 以太币 被转移到龙卷风现金一款旨在隐藏买卖痕迹的数字货币混合器。

收到5000万后30分钟USD骗子采取了行动：
• 交换了 5000 万USDUSD到$D人工智能通过 MetaMask 交换
• 全部交换$D人工智能至 16,690ETH
• 已存入 16,680ETH进入龙卷风现金

骗子地址：
0xbaff2f13638c04b10f8119760b2d2ae86b08f8b5…https://t.co/ySGWtg3VIB pic.twitter.com/3BsWndrrJC

— SlowMist (@SlowMist|Team)2025年12月20日

受害者通过互联网寻求赔偿

为了追回失窃资产，受害者通过某种方法与攻击者联系。链上消息并悬赏100万USD寻求白帽黑客信息。作为交换，该买卖员需要返还98%的资金。

该消息称，已提起刑事诉讼，并声称执法部门、互联网安全机构和多个区块链协议正在帮助调查。

先例带来的期望有限

这起事件与2025年5月发生的一块类似案件如出一辙，当时……ETH用户因地址投毒攻击损失了价值 7100 万USD的 WBTC (W比特币)。

在这样的情况下，大多数资金最后在 Match Systems 和 Cryptex 交易平台促成的链上谈判后得以追回。

然而，调查职员提醒，结果可能因状况而异。就此案而言，资金飞速流入“龙卷风现金”账户，致使任何追回工作都变得愈加复杂。

地址中毒日益成为一种威胁

今年早些时候，Casa联合开创者兼首席安全官詹姆森·洛普警告称，地址投毒攻击在区块链互联网中正变得愈加常见。研究自 2025 年以来，仅在BTC范围就发现了约 48,000 起疑似事件。

洛普建议，钱包提供商可以通过标记与以往收款人地址高度一样的地址来减少风险。他觉得，如此的警报可以预防用户在不知情的状况下与恶意钱包进行交互。

2025年数字货币偷窃案将创历史新高

最后，这次攻击加剧了数字货币范围今年前所未有些损失。链剖析2025年，偷窃总额超越34亿USD，超越了上一年的总额。

值得注意的是，其中近 44% 的损失来自于单一数据泄露事件。
2 月份，Bybit交易平台遭黑客攻击损失14亿USD据称，此次事件与朝鲜威胁行为者有关。区块链剖析公司Elliptic后来将该事件描述为有史以来规模最大的数字货币偷窃案。