Ad Banner
Ad Banner
Ad Banner
Close Menu
    比特币

    为什么可以在不窃取私钥的情况下解决中毒问题

    KTRO TEAMBy No Comments1 Min Read

    要点

    • 地址中毒利用的是行为,而不是私钥。攻击者操纵交易历史记录并依赖用户错误地复制恶意相似地址。

    • 2025 年 5000 万 USDT 损失和 2026 年 2 月 3.5 wBTC 流失等案例表明,简单的界面欺骗可能会导致巨大的财务损失。

    • 复制按钮、可见的交易历史记录和未经过滤的灰尘传输使中毒地址在钱包界面中显得值得信赖。

    • 由于区块链是无需许可的,任何人都可以将代币发送到任何地址。钱包通常会显示所有交易,包括攻击者用来植入恶意条目的垃圾邮件。

    大多数加密货币用户认为,只要他们的私钥受到保护,他们的资金就会保持安全。然而,随着诈骗数量的增加表明,情况并非总是如此。诈骗者一直在使用一种阴险的策略,即地址中毒,在不访问受害者私钥的情况下窃取资产。

    2026 年 2 月, 网络钓鱼 该方案针对的是 Phantom Chat 功能。使用地址中毒策略,攻击者成功 消耗了大约 3.5 个已包装的比特币 (wBTC),价值超过 264,000 美元。

    2025 年,一名受害者损失了 5000 万美元的 Tether USDt(泰达币)复制中毒地址后。此类事件凸显了不良的界面设计和日常用户习惯可能会导致巨大的损失。

    币安联合创始人等著名加密货币人物 Changpeng “CZ” Zhao 有公开的 敦促 钱包在地址中毒事件后增加更强有力的保护措施。

    本文解释了地址中毒诈骗如何利用用户行为而不是 私钥 盗窃。它详细介绍了攻击者如何操纵交易历史、为什么该策略在透明区块链上成功,以及用户和钱包开发人员可以采取哪些实际步骤来降低风险。

    地址中毒真正涉及什么

    与针对私钥或利用代码缺陷的传统黑客攻击不同,地址中毒会操纵用户的交易历史记录,欺骗他们将资金发送到错误的地址。

    通常,攻击按以下方式进行:

    1. 诈骗者通过公共区块链数据识别高价值钱包。

    2. 他们创建一个与受害者经常使用的钱包地址非常相似的钱包地址。例如,攻击者可能会匹配第一个和最后几个字符。

    3. 他们从这个虚假地址向受害者的钱包发送一笔小额或零价值交易。

    4. 他们依赖受害者稍后从最近的交易列表中复制攻击者的地址。

    5. 当受害者意外粘贴并将其发送到恶意地址时,他们会收集资金。

    受害者的钱包和私钥保持不变,区块链密码学也保持不变。该骗局的猖獗纯粹是由于人为错误和对熟悉模式的信任。

    你可知道? 随着以太坊第 2 层网络的兴起,地址中毒诈骗激增,较低的费用使得攻击者可以更便宜地同时向数千个钱包大规模发送灰尘交易。

    攻击者如何制作欺骗性地址

    加密地址是很长的十六进制字符串,在以太坊兼容链上通常为 42 个字符。钱包通常只显示截断的版本,例如“0x85c…4b7”,诈骗者会利用这些内容。假地址的开头和结尾相同,但中间部分不同。

    合法地址(示例格式):

    0x742d35Cc6634C0532925a3b844BC454e4438f44e

    中毒相似地址:

    0x742d35Cc6634C0532925a3b844Bc454e4438f4Ae

    诈骗者使用虚荣地址生成器来制作这些几乎相同的字符串。由于除尘转移,假货出现在受害者的交易历史中。对于用户来说,它乍一看是值得信赖的,特别是因为他们很少验证完整的地址字符串。

    你可知道? 一些区块链浏览器现在会自动标记可疑的除尘交易,帮助用户在与交易历史交互之前发现潜在的中毒尝试。

    为什么这个骗局如此成功

    有几个相互交织的因素使地址中毒具有毁灭性的影响:

    1. 人类处理长字符串的局限性: 由于地址不人性化,因此用户依赖于在开头和结尾进行快速目视检查。诈骗者利用了这种趋势。

    2. 方便但有风险的钱包特点: 许多钱包在最近的交易旁边提供了简单的复制按钮。虽然此功能有助于合法使用,但当垃圾邮件条目潜入时,它就会变得危险。ZachXBT 等调查人员已经发现 受害者直接从钱包用户界面复制中毒地址的情况。

    3. 无需技术漏洞: 由于区块链是公开且无需许可的,因此任何人都可以将代币发送到任何地址。钱包通常会显示所有传入交易,包括垃圾邮件,并且用户倾向于信任自己的历史记录。

    该漏洞存在于行为和用户体验中,而不是存在于加密或密钥安全性中。

    为什么钥匙的保护不够

    私钥控制授权,这意味着它们确保只有您才能签署交易。但是,他们无法验证目标地址是否正确。区块链的核心特征——无需许可的访问、交易的不可逆转性和信任最小化——意味着恶意交易会被永久记录。

    在这些骗局中,用户自愿签署转账。系统的功能完全符合设计,缺陷在于人的判断。

    潜在的心理和设计问题包括:

    • 日常习惯: 人们倾向于重复将资金发送到相同的地址,因此他们从交易历史记录中复制而不是重新输入地址。

    • 认知紧张: 交易涉及多个步骤,例如地址、费用、网络和批准。许多用户发现仔细检查每个角色很乏味。

    • 截断显示: 钱包用户界面隐藏了大部分地址,导致部分检查。

    你可知道? 在某些情况下,攻击者使用 GPU 驱动的虚荣工具自动生成相似地址,从而使他们能够在几分钟内生成数千个几乎相同的钱包地址。

    保持安全的实用方法

    虽然地址中毒利用的是用户行为而不是技术漏洞,但交易习惯的微小改变可以显着降低风险。了解一些实用的安全措施可以帮助加密货币用户避免代价高昂的错误,而无需先进的技术知识。

    对于用户

    简单的验证习惯和交易纪律可以显着降低您成为中毒诈骗受害者的机会。

    • 为频繁收件人建立并使用经过验证的地址簿或白名单。

    • 验证完整地址。付款前使用检查器或逐个字符进行比较。

    • 切勿复制最近交易历史记录中的地址。相反,重新输入地址或使用书签。

    • 忽略或报告未经请求的小额转账作为潜在的中毒企图。

    对于钱包开发者

    周到的界面设计和内置保护措施可以最大限度地减少用户错误,并使地址中毒攻击的效果大大降低。

    • 过滤或隐藏低价值垃圾邮件交易

    • 收件人地址相似度检测

    • 预签名模拟和风险警告

    • 通过链上查询或共享黑名单进行内置中毒地址检查。

    Cointelegraph 保持完全的编辑独立性。专题和杂志内容的选择、委托和发布不受广告商、合作伙伴或商业关系的影响。

    Share.
    KTRO TEAM

    KTRO MEDIA 是一家全球性的华文WEB3媒体公司。我们致力于为区块链和金融科技领域提供最新的新闻、见解和趋势分析。我们的宗旨是为全球用户提供高质量、全面的资讯服务,让他们更好地了解区块链和金融科技行业的最新动态。我们也希望能帮到更多优秀的WEB3产品找到更多更好的资源好让这领域变得更成熟。 我们的报道范围涵盖了区块链、加密货币、智能合约、DeFi、NFT 和 Web3 生态系统等领域。我们的报道不仅来自行业内的专家,先锋者也包括了我们自己的分析和观点。我们在各个国家和地区都设有团队,为读者提供本地化的报道和分析。 除了新闻报道,我们还提供市场研究和咨询服务。我们的专业团队可以为您提供有关区块链和金融科技行业的深入分析和市场趋势,帮助您做出更明智的投资决策。 我们的使命是成为全球华文区块链和金融科技行业最受信赖的信息来源之一。我们将继续不断努力,为读者提供最新、最全面、最可靠的信息服务。

    Add A Comment
    Leave A Reply

    logo
    ktromedia.com 是您的比特币、以太坊、监管、市场、区块链、商业和加密指南网站。 我们为您提供直接来自加密新闻行业的最新突发新闻和视频。
    © 2026 ktromedia.com. All Rights Reserved.