加密投資者遭雙重釣魚攻擊，損失260萬美元USDT

一名加密投資者於三小時內，於兩次幾乎相同的釣魚攻擊中損失了價值260萬美元的穩定幣，突顯區塊鏈金融面臨的「零轉帳」詐騙威脅日益嚴重且智能化。

事件於5月26日被區塊鏈安全公司Cyvers發現，並揭露兩宗巨額Tether（USDT）轉帳 —— 首筆高達84.3萬美元，幾小時後再有175萬美元被轉走。兩宗個案都利用了一種稱為零數值轉帳的鏈上騙術，這種釣魚手法愈來愈常被用來針對用戶複製或查閱錢包位址的習慣。

這次雙重損失反映現有用戶界面的限制、加密犯罪中的高智社交工程，以及Web3亟待強化的安全解決方案。

零數值轉帳是利用用戶查閱交易紀錄及信任位址的方法漏洞而得逞。這種技術濫用ERC-20代幣標準的transferFrom函數，令任何人都能在無需用戶授權下執行（只要金額設為零）。

因為沒有實質資產移動，偽造的零轉帳無需目標錢包的電子簽署，但這些交易同樣會上鏈，容易誤導受害人，以為這個偽裝位址是過往曾信任的對象。

騙徒實際上是透過放入看似無害的零轉帳來「污染」用戶的交易紀錄，令受害人日後要進行真正轉帳時，若依靠歷史資料或複製過往位址，有機會錯手將資金送往騙徒偽裝的地址。

這種手法結合一項名為「位址投毒」的相關攻擊法：騙徒從外觀近似受害人聯絡人的錢包地址發送少量加密貨幣，令用戶憑首尾幾個字符配對（而非核對整個字串），容易被騙。

零轉帳和位址投毒攻擊的關鍵危機，不在於加密協議被破解，而是利用用戶行為漏洞。加密錢包常用的介面 —— 特別是瀏覽器插件和手機應用 —— 大多以地址紀錄及過往交易作安全、信任或經驗指標。這建立了一個以人為本的攻擊面，無需依靠程式碼漏洞，只靠誤導決策。

以今次260萬美元失竊事件為例，受害人極可能利用錢包交易紀錄啟動或核對位址時，相信自己在向一個認識或信任的對象轉帳。三小時內就重複落入陷阱，或是因第一筆損失沒即時察覺，或以為首宗為正當交易，突顯這類騙局在即時操作下可極具欺騙性。

今次受害損失皆為USDT（Tether）這種流通量大的穩定幣。由於USDT經常用於大額機構或零售轉帳，因此成為精密針對高值錢包的主要攻擊目標。

類似案件並非孤例。2025年1月發表的綜合調查顯示，單在2022年7月到2024年6月，Ethereum和BNB Chain記錄到超過2.7億宗位址投毒企圖。雖然當中只有6000宗得手，已造成超過8300萬美元確定損失。

無論得手與否，龐大嘗試數量反映投毒攻擊成本極低，而且由於用戶行為和現行錢包防釣魚UX不足，成效仍然高企。

值得注意的是，單一個案導致損失都極嚴重。2023年，一宗同類零轉帳詐騙令2000萬美元USDT被盜，Tether其後將該錢包列入黑名單。然而，黑名單並非萬應法 —— 很多代幣並不支援發行人列黑、並非所有區塊鏈都提供及時介入工具。

面對零轉帳釣魚案激增，不少資安及錢包基礎設施公司正開發更智能的偵測系統減低風險。

今年初，區塊鏈安全公司Trugard與鏈上安全協議Webacy合作，推出一套專門檢測位址投毒的AI智能系統。根據開發團隊，該工具在歷史攻擊資料的測試中達到97%準確率。

這系統通過分析交易元數據、轉帳行為和位址相似度，在交易真正送出前向用戶示警。但不少主流錢包尚未全面整合這類第三方安全工具。

部分錢包開發團隊亦研究如何改革交易紀錄介面，例如標註零額交易、根據信任分數為位址分類染色、簡化整個位址核對等措施，期望壓抑騙局成功率。但行業標準化尚需時，現時用戶仍處於高風險狀態。

雖然零轉帳詐騙技術十分簡單，但執法極為困難且極少成功。這類騙案大多來自假名或境外主體，而資金往往很快被轉移到去中心化交易所、混幣器或跨鏈橋等工具。

類似Tether的穩定幣發行商，只有在集中式控制機制下存有介入空間，而且前題是贓款未被轉動或仍可追蹤。一旦資金流入隱私池或換成其他資產，通常難以追回。

此外，執法機構多缺乏技術或司法權限調查，除非事件涉及大型犯罪組織行動，否則難以處理。

目前用戶必須加倍小心與區塊鏈位址互動，特別是大額轉帳方面。建議做法包括：

零轉帳釣魚攻擊處處反映，Web3威脅由協議級入侵轉向利用鏈上數據的人為誤導。隨公有鏈資產價值上升，這些手法將更精密，唯一防線是用戶教育及更完善的錢包工具，保障資金安全。