被很多人忽视的 7900 万美金攻击:钱包地址投毒正在快速增长!

PengoPay
PengoPay
  • 地址投毒攻击是一种利用人类错误的安全威胁,通过在区块链上生成相似地址的灰尘交易,诱导用户复制错误地址,导致资金损失。
  • 数据表明,2022年7月至2024年6月期间,以太坊和BSC网络上发生约1700万次尝试,目标超过130万个地址,确认损失至少7930万美元。
  • 真实案例中,用户在完成转账后30分钟内收到89条投毒交易提醒,伪造地址被插入历史记录以误导后续操作。
  • 攻击机制依赖于用户习惯从交易历史复制地址,攻击者创建首尾字符相似的伪造地址并发起小额转账。
  • 攻击增加原因包括:自动化系统监控链上活动、工业化批量执行以低成功率获利、交易成本下降扩大规模。
  • 问题根源在于钱包体验设计,用户行为成为漏洞,而非技术缺陷。
  • PengoPay解决方案:使用收款主页和二维码替代直接地址处理,隔离收款地址,实施KYT与AML风险检测,采用MPC自托管钱包架构。
  • 行业启示:安全需结合产品设计,简化支付流程(如收款页面)可降低风险,促进稳定币支付更安全便捷。
总结

作者:PengoPay 稳定币支付团队

在加密行业中,人们通常把安全问题与智能合约漏洞、交易所被盗或私钥泄露联系在一起。

但事实上,近年来增长最快、同时也最容易被忽视的一类攻击,并不需要破解密码学,也不需要入侵系统。

它只利用一个简单的事实:人类会犯错。

这种攻击被称为地址投毒攻击(Address Poisoning Attack)。

根据 Etherscan 数据研究,在 2022 年 7 月至 2024 年 6 月 期间,以太坊和 BSC 网络上共发生了约 1700 万次地址投毒尝试,攻击目标超过 130 万个地址,已确认造成的损失至少 7930 万美元。

随着稳定币在全球支付中的使用越来越普遍,这类攻击也正在变得越来越危险。

一个真实案例:30 分钟内收到 89 笔投毒交易

Etherscan 用户 Nima 最近分享了一次令人震惊的经历。

在他完成两笔稳定币转账 后不到 30 分钟,就收到了 超过 89 条地址监控提醒邮件。

这些提醒全部来自投毒交易。

攻击者在极短时间内生成了大量伪造地址,这些地址的特征是:看起来与他曾经交易过的地址非常相似。

攻击者的目标很简单:让这些伪造地址出现在用户的钱包交易历史中,从而诱导用户在下一次转账时复制错误的地址。

这正是地址投毒攻击的核心逻辑。

地址投毒攻击是如何发生的

许多加密用户在发送资金时,都会从 历史交易记录中复制地址。

攻击者正是利用这一习惯。

他们会创建一个与真实地址 首尾字符相似 的伪造地址,并向目标地址发送一笔极小金额的转账(Dust Transaction)。

例如:

真实地址:

0x742d35Cc6634C0532925a3b844Bc454e4438f44e

伪造地址:

0x742d35Cc6634C0532925a3b844Bc454e4438F44F

因为地址的 前几位和后几位几乎相同,很多用户会误以为这是之前使用过的地址。

如果用户复制了这个地址并向其转账,那么资金就会直接进入攻击者的钱包。

而在区块链世界里:一旦交易发生,几乎没有办法撤回。

为什么地址投毒正在快速增加

地址投毒攻击之所以越来越普遍,主要有三个原因:

1. 自动化攻击系统

攻击者通常运行自动化机器人来监控链上活动。

当某个地址发生交易时,系统会自动:

  • 识别目标地址
  • 生成多个相似地址
  • 发送灰尘转账

整个过程可以在 几分钟内完成。

2. 攻击已经工业化

研究发现,地址投毒攻击通常是 大规模批量执行的。

平均成功率只有 0.01%,也就是说:每 1 万次投毒尝试,大约有 1 次成功。

但由于攻击者可以发送数百万次尝试,即使成功率很低,仍然可以获得可观收益。

只要有一次攻击成功并涉及大额转账,就可以覆盖数千次失败尝试的成本。

3. 交易成本下降

随着以太坊网络升级和 Layer2 的发展,链上交易费用大幅降低。

这使得攻击者可以以更低成本发送大量灰尘交易。

当攻击成本降低时,攻击规模就会自然扩大。

真正的问题其实是钱包体验设计

很多人认为地址投毒是区块链安全问题,但实际上,它更像是产品体验问题。

大多数钱包仍然采用这样的使用模式:

1. 用户查看历史交易记录

2. 找到曾经交互过的地址

3. 复制地址

4. 粘贴到转账界面

如果攻击者成功把伪造地址插入交易历史,这种操作流程就会变得非常危险。

换句话说:攻击的核心不是技术漏洞,而是用户行为。

PengoPay 如何从产品设计上避免地址投毒

PengoPay 在设计稳定币支付系统时,采用了一种不同的思路:用户不需要直接处理区块链地址。

通过改变支付流程,PengoPay 从根本上减少了地址投毒攻击的发生条件。

1. 使用收款主页,而不是钱包地址

在 PengoPay 中,每个用户都会自动获得:

1)一个专属收款主页

2)一个收款二维码

用户不需要发送钱包地址,只需要分享一个收款链接,例如:

https://pengopay.pengopay.com

付款方通过支付页面完成交易,而不是复制区块链钱包地址。

这种方式可以显著减少用户复制错误地址的风险。

2. 收款地址与用户钱包隔离

PengoPay 还采用了收款地址隔离架构。

这种架构带来的好处包括:

  • 用户的钱包地址不会直接暴露
  • 规避攻击者向用户主钱包发送投毒交易
  • 收款记录更加干净

3. KYT 与 AML 风险检测

PengoPay 对每一笔进入系统的资金都会进行 KYT 与 AML 检测。

该机制可以识别:

  • 已知诈骗地址
  • 制裁名单地址
  • 异常交易行为

可以有效拦截脏钱进入用户 MPC 自托管钱包。

4. MPC 自托管钱包安全架构

PengoPay 采用 MPC(多方计算)自托管钱包技术。

这种架构意味着:

  • 用户资金由用户控制
  • 平台无法随意挪用资产
  • 私钥不会在单点暴露

与传统中心化托管模式相比,这种结构可以直接规避由于托管平台暴雷跑路的风险。

重新思考加密支付的安全设计

地址投毒攻击给行业带来了一个重要启示:安全不仅仅是密码学问题,更是产品设计问题。

如果一个系统要求用户频繁复制区块链地址,那么地址投毒攻击几乎不可避免。

而如果支付系统通过 收款页面、发票和二维码 等方式进行交易,则可以大幅减少这种风险。

稳定币支付需要更安全的产品体验

随着稳定币逐渐成为全球数字经济的重要支付方式,支付基础设施也需要不断升级。

地址投毒攻击提醒我们:简单的用户体验往往意味着更高的安全性。

像 PengoPay 这样的产品,正在尝试通过重新设计支付流程,让稳定币支付既简单又安全。

如果稳定币真的要成为下一代全球支付网络,那么减少复杂性、降低风险的产品,将会变得越来越重要。

分享至:

作者:PengoPay

本文为PANews入驻专栏作者的观点,不代表PANews立场,不承担法律责任。

文章及观点也不构成投资意见

图片来源:PengoPay如有侵权,请联系作者删除。

关注PANews官方账号,一起穿越牛熊
Telegram交流群
Telegram资讯频道
@PANews
推荐阅读
PA日报

PA日报

PA日报 |PumpFun年内费用收入超以太坊;特朗普明确表态不寻求第三任期
PA一线

PA一线

昨夜今晨重要资讯(4月2日-4月3日)
PA日报

PA日报

PA日报 | FTX下一轮还款分配将于5月30日开始;CZ将捐出钱包中收到的所有代币
Foresight News

Foresight News

用USDT订酒店立省18%,携程海外版力推稳定币支付
一周预告

一周预告

一周预告 | 白宫数字资产市场工作组预计于7月22日发布首份加密政策报告;美联储举办关于银行资本的会议
项目动态

项目动态

UPay 推出双 App 战略与全新虚拟尊享卡,开启全球加密支付新时代

热门文章

行业要闻
市场热点
精选读物
点击订阅
PANews APP
24小时追踪区块链行业资讯,行业深度文章解析。
下载 PANews App
App StoreGoogle Play