在短短三个小时内,一名加密投资者因两起几乎完全相同的网络钓鱼攻击,损失了价值$260万的稳定币,这凸显了区块链金融领域日益增长且复杂的威胁:零转账骗局。
这一事件在5月26日由加密安全公司Cyvers标识出来,涉及两笔大额泰达币(USDT)交易——第一笔总额为$843,000,数小时后又有第二笔$175万的转账。在这两种情况下,受害者似乎都中了一个被称为零值转账的欺骗性链上策略,这是一个针对用户钱包地址习惯的网络钓鱼方法,日益被骗子使用。
该事件的双重损失突显了当前面向用户的钱包界面的局限性,加密犯罪中智能社交工程的崛起,以及在Web3环境中对强大安全解决方案的迫切需求。
零值转账利用了用户解读交易历史并信任钱包地址的漏洞。该技术滥用ERC-20代币标准的transferFrom函数,允许任何一方在不征得用户同意的情况下发起代币转账——如果转账金额为零。
因为没有真实代币被移动,这些伪造的零值交易无需目标钱包的数字签名。然而,它们仍被记录在链上,常常误导受害者相信这个伪造的地址是一个以前信任的地址。
实际上,骗子通过注入看似无害的零值转账来“污染”受害者的交易历史,这些转账看起来是合法的。当受害者后来进行真实交易时——也许使用钱包历史或复制以前交互过的地址,他们可能会不小心将资金发送给攻击者的伪造地址。
这种利用手法借鉴并扩展了一种相关攻击方法,称为地址投毒,在这种情况下,骗子从设计得与用户已知联系人的钱包地址视觉上相似的地址发送少量加密货币。此攻击通常依赖于利用用户对地址部分匹配的依赖——通常是前四个和后四个字符——而不是验证整个字符串。
高级网络钓鱼
零转账和地址投毒诈骗的关键危险不在于突破加密协议,而在于操纵用户行为。加密钱包界面——尤其是基于浏览器的钱包和移动应用程序——通常将地址历史和过去的交易作为安全、信任或以前使用的指标。这创造了一个不依赖代码漏洞而是依赖人类决策失误的攻击面。
在最近$260万被盗的事件中,受害者可能使用其钱包的交易历史来发起或验证地址,相信他们将资金发送给已知道或先前信任的联系。当攻击在不到三个小时内重复发生时,可能表明受害者要么没有及时发现最初的损失,要么相信第一次交易是合法的——这两种情况都显示了该骗局在实时中的隐蔽性和说服力。
损失仅限于USDT(泰达币),这是一种日均链上交易量亿级的广泛使用的稳定币。由于USDT通常用于大型机构和零售转账,它成为了精准诈骗的主要目标,专注于高价值钱包。
地址投毒攻击上升
此事件并非孤立的。2025年1月发布的一项综合研究显示,在2022年7月至2024年6月期间,以太坊和BNB链上记录了超过2.7亿次地址投毒尝试。虽然只有6,000次攻击成功,但它们总共造成超过$8300万的证实损失。
尝试次数之多——无论成功与否——表明投毒策略执行成本低且因用户行为倾向和常见加密钱包中缺乏反钓鱼UX而继续有效。
值得注意的是,单个案例中的损失规模相当大。2023年,一起类似的零转账骗局导致$2000万USDT被盗,最终Tether将该钱包列入黑名单。然而,禁止名单并不是一种通用的保障——许多代币不支持发行者禁止名单,并且并非所有区块链网络都提供类似的干预工具。
AI检测工具和界面改革
作为对零转账钓鱼增多的回应,若干网络安全和钱包基础设施公司正试图通过更智能的检测系统来减轻风险。
今年早些时候,区块链安全公司Trugard与链上安全协议Webacy合作推出了一种AI检测系统,专门用于标记潜在的地址投毒尝试。根据其开发者,该工具在涉及历史攻击数据的测试中表现出97%的准确率。
该系统通过分析交易元数据模式、转账行为及地址相似性来工作,然后在交易完成前提醒用户。然而,跨主流钱包的更广泛应用仍然有限,因为许多平台仍在整合第三方安全工具的过程中。
一些钱包开发者还在探索如何改变交易历史的呈现方式。例如,标记零值交易,根据信任评分着色地址,以及简化完整地址验证等方式正在被考虑以破坏诈骗成功率。不过,除非此类界面变更在整个行业中得到标准化实施,否则用户仍然面临风险。
法律和监管盲点
虽然零转账骗局在技术上简单,但对实施者采取法律行动却复杂且极少成功。许多这类骗局源于化名或海外实体,资金迅速通过去中心化交易所、混币器或跨链桥进行洗钱。
像Tether这样的稳定币发行者仅能在存在中心化控制机制的情况下干预——而且只有当被盗资金保持不动或可追踪时。一旦攻击者将资金转移到隐私池或将其转换为其他资产,追回就几乎不可能。
此外,执法机关通常缺乏调查此类攻击的技术专长或管辖权,除非它们是较大的有组织活动的一部分。
最后的防线
目前,终端用户在与区块链地址交互时必须提高警惕,特别是对于大额转账。最佳做法包括:
- 始终验证完整地址,而不仅仅是第一个/最后一个字符。
- 避免使用钱包历史来复制地址。
- 手动从官方来源书签已知地址。
- 使用内置防钓鱼检测的钱包,如果有的话。
- 监控零值的入账转账作为潜在警告信号。
零转账钓鱼攻击的增加表明Web3威胁从协议级别的攻击转向使用链上元数据的社交工程攻击。随着公共区块链上资产价值的增长,这些方法的复杂性也将增加——这使得用户教育和更好的钱包工具至关重要以保护资金。