📖 术语
🟢 通俗解释
🔰 新手
🪤 地址投毒 Address Poisoning
骗子往你的交易记录里塞进一个假钱包地址,它跟你常打交道的某个地址长得几乎一模一样,就赌你日后顺手把它复制下来,把币直接转给他。
💡
常见误解 — 钱包里冒出一笔莫名其妙的小额转账,我是不是被黑了?其实没有!这笔投毒转账本身不会造成任何损失,也碰不到你的私钥,它只是个诱饵。陷阱要等到你自己日后复制那个假地址、再次拿来用时才会触发。
🎭 通俗来说 — 一张被掉包的名片
想象骗子往你钱包里塞了一张名片,跟你朋友那张几乎一模一样:同样的标志,号码只差一两位。几周后你随手抽出「那张」名片,没逐位看清,就把支票寄给了陌生人。地址投毒就是链上版的同一招。攻击者造出一个钱包地址,开头和结尾的字符跟你常转账的对象一致,再想办法让它出现在你的交易记录里。日后只要你图省事从记录里复制,而不是从可信来源取地址,币就转到他那里去了。
👀 这招为什么管用 —— 我们只看两头,不看中间
钱包和区块链浏览器不会显示完整地址,而是把它缩短,只露出开头几位和结尾几位,中间用省略号代替。久而久之,我们就习惯靠两头来认地址。骗子正是抓住这一点:他们生成一个「靓号」山寨地址,开头和结尾跟你的对手方一致,中间则完全不同 —— 而中间恰恰是没人会去看的部分。
🧪 零值转账这一招
常见的技术手法之一是零值转账。攻击者钻了 ERC-20 代币的一个函数(transferFrom)的空子,发出一条转账事件,实际上一个币都没动。你的钱包和区块链浏览器读到这条事件,就把它当成一笔普通的到账显示出来 —— 于是那个假地址看上去就像一个你已经打过交道的真账户。你钱包里其实什么都没少,但诱饵已经像模像样地躺进了交易记录。
📊 这个问题有多严重?
| 指标 | 已观察到的情况 |
|---|---|
| 🔁 尝试次数 | 以太坊和 BNB Chain 上已发现超过 2.7 亿次零值转账尝试(数字为大致估算) |
| 💸 已确认损失 | 与这类骗局相关的损失约 8300 万美元(大致估算) |
| 📈 增长 | Chainalysis 报告称,2024 年转入地址投毒骗局的加密资产增长超过 15000% |
| 🐋 目标 | 骗子往往盯上余额高于平均水平的钱包 |
📌 一个真实案例:2024 年 5 月,一位持有者把约 6800 万美元的封装比特币转给了一个中毒的山寨地址。攻击者后来归还了资金,但仍从这一回合中卷走了约 149 万美元。
🚨 如何保护自己
- 🔤 逐个字符核对 —— 核对整串地址,而不是只看开头和结尾那几位
- 🚫 绝不从记录里复制 —— 别拿交易记录里的地址来重复使用,诱饵就藏在那儿
- 📓 用好地址簿 —— 把信得过的地址存下来,只往存好的条目转账
- 🧪 先转一笔测试 —— 大额转账前,用一笔小额测试确认收款地址没错
- 🔒 在设备上确认 —— 硬件钱包会在自己的屏幕上显示真正的收款地址,供你当面核对
❓ 常见问题
- 钱包里突然多了一笔我没操作过的小额转账,是被黑了吗?
- 基本可以放心,不是。这笔投毒转账本身不会造成任何损失,也从头到尾碰不到你的私钥,它只是躺在交易记录里的诱饵。只有当你日后亲手把那个假地址复制下来、再转币过去,骗局才会得逞。
- 怎样才能不中地址投毒的招?
- 千万别从交易记录里复制地址。把信得过的地址存进地址簿,转账前逐个字符核对整串地址,而不是只看开头和结尾那几位。先转一笔小额测试,是一道很便宜的保险。
- 如果转错了地址,钱还能要回来吗?
- 要不回来。区块链上的交易不可逆。币一旦到了攻击者地址,没有哪家银行或客服能帮你追回。正因如此,转账前的核对才这么重要。