加密投資者遭遇雙重網路釣魚攻擊，損失260萬美元USDT

一位加密投資者在三小時內遭遇兩起幾乎完全相同的網路釣魚攻擊，損失價值260萬美元的穩定幣，凸顯了區塊鏈金融日益嚴峻且複雜的新威脅：零轉帳詐騙。

這起事件於5月26日由加密安全公司Cyvers發現，涉及兩筆大額Tether（USDT）交易——第一筆為84.3萬美元，幾小時後又發生第二筆175萬美元轉帳。受害者在兩次情況下，似乎都落入名為零值轉帳的鏈上詐騙陷阱，這是一種詐騙者針對錢包地址常規操作而日益常見的網路釣魚手法。

這次雙重損失凸顯了目前錢包介面對用戶風險的侷限、加密犯罪社交工程手法的進化，及Web3生態迫切需要更堅固安全解決方案。

零值轉帳利用了用戶對交易歷史和錢包地址信賴的缺陷。該技術濫用了ERC-20標準的transferFrom函數，使任何人皆可在金額為零時發起代幣轉帳，無需用戶同意。

由於沒有實際代幣移動，這類僞造的零值交易也不需要被害錢包的數位簽章，但仍會紀錄於鏈上，常常令用戶誤以為這是過去已信任的地址。

實際操作中，詐騙者會透過注入看似無害的零值轉帳「污染」受害者的交易歷史，使這些交易看起來很正當。當受害者之後根據歷史紀錄或複製曾互動過的地址進行真實交易時，便可能誤將資金轉入詐騙者偽造的地址。

此種手法衍生自相關攻擊方式「地址投毒」——詐騙者會從設計成與受害者熟悉的聯絡人類似的錢包地址發送小筆加密貨幣。這技倆通常是利用多數用戶僅查對位址前後幾碼、而非全碼的習慣來下手。

零轉帳與地址投毒詐騙的最大危險，不在於破壞密碼學協議本身，而是操控用戶行為。加密錢包介面——特別是瀏覽器插件或手機APP——常常將地址歷史和過往交易展示為安全、信任或使用依據，這讓人性弱點成為攻擊面，而非程式漏洞。

在此次260萬美元失竊事件中，受害人很可能利用其錢包交易紀錄來查證或發起轉帳，認為在向熟悉或先前可信之地址轉出資金。兩度攻擊在三小時內重複發生，顯示受害者或許未即時察覺第一次損失，或誤以為第一筆是正當交易，點出這類詐騙在實際操作中的隱蔽與迷惑性。

此次損失全為USDT（Tether），一款在鏈上具數十億日均交易量的主流穩定幣。由於USDT常用於巨額機構與零售轉帳，也因此成為詐騙鎖定高價值錢包的首要目標。

這類事件並非零星個案。2025年1月一份綜合研究指出，自2022年7月至2024年6月期間，Ethereum及BNB Chain共錄得超過2.7億次地址投毒嘗試。儘管其中僅6,000次攻擊成功，累積損失卻超過8,300萬美元。

嘗試次數之多，不論是否成功，說明這類詐騙執行成本低，又因用戶習慣及主流錢包反釣魚體驗匱乏而保持高度有效。

值得注意的是，單一案例損失規模往往極為龐大。2023年，一起類似的零值轉帳詐欺奪走2,000萬美元USDT，最終由Tether將錢包列為黑名單才終止事件；惟黑名單僅限於部份代幣支援和中心化管理的情境，並非各區塊鏈皆有同等挽救機制。

為因應零轉帳釣魚案件頻傳，數家網路安全及錢包基礎建設公司正透過更智慧的偵測系統降低風險。

今年初，區塊鏈安全公司Trugard與鏈上安全協議Webacy合作，推出專為標註地址投毒企圖而設的AI檢測系統。據開發團隊表示，該工具於歷史攻擊數據測試中準確率達97%。

該系統會分析交易元數據、轉帳行為與地址相似度，在交易完成前示警用戶。但目前普及度尚有限，許多平台仍在整合第三方安全工具的階段。

有些錢包開發者也正思考重新設計交易歷史的顯示方式，例如：標示零值交易、根據信任分數變動地址顏色、簡化完整地址驗證等，以降低詐騙成功率。但在此類介面調整廣泛推行前，用戶風險依然存在。

零轉帳詐騙雖技術上簡單，但要追究責任難度高且鮮有成果。許多攻擊來自匿名或國外組織，資金迅速流轉至去中心化交易所、混幣器或跨鏈橋洗淨。

穩定幣發行方如Tether，只有在存在中心化控制並且被盜資金尚未被動用時才可介入追回。若攻擊者將資金轉入隱私池或兌換為其他資產，追回幾乎不可能。

此外，執法機關往往缺乏足夠技術能力或跨國司法權，只有大型有組織攻擊案才較有機會介入調查。

當前情勢下，最終仍須靠用戶自身加強警覺，特別是大額資金轉帳時，應留意以下幾點：

零轉帳釣魚攻擊的興起，預示Web3生態攻擊方式正自協議層轉向社交工程與鏈上數據誘騙。隨公共鏈上資產價值水漲船高，相關詐騙手法亦日趨精進——更需用戶教育與現代化錢包工具來守護資金安全。