交易員遭「地址投毒攻擊」！近 5 千萬 USDT 白白送給駭客

看似簡單、卻屢屢得手的「地址投毒攻擊（Address Poisoning Attack）」近來頻頻發生，日前就有一位加密貨幣交易員因誤入這類陷阱，短短半小時損失近 5 千萬美元 USDT，雖然事後開出 100 萬美元的「白帽賞金」求攻擊者歸還資產，但在失竊資產已流入混幣平台的情況下，追回希望渺茫。

根據鏈上數據分析平台 Lookonchain 追蹤，這起事件發生在 12 月 20 日，受害者當時正從幣安（Binance）提領資產，並打算轉移到個人錢包。

依照多數大額轉帳的安全慣例，受害者先行發送 50 枚 USDT 作為測試交易，確認地址無誤。然而，就在這筆小額轉帳完成後，攻擊者操控的自動化腳本，立刻生成一個「偽裝地址（Spoofed Address）」，且地址前 5 碼與後 4 碼，與受害者原本的收款地址完全相同，僅中間字符有所差異。

接著，攻擊者刻意使用「偽裝地址」向受害者錢包發送數筆小額交易，以便讓「毒地址」出現在受害者的交易歷史清單中，等到受害者要轉移剩下的 4,999 萬美元時，為了圖方便，就直接在交易紀錄中點選了這個高度相似的詐騙地址。

由於多數錢包介面為了方便閱讀，會將中段字元以「……」省略顯示，這使得兩組地址在視覺上幾乎難以分辨。

區塊鏈瀏覽器 Etherscan 顯示，測試轉帳發生在 UTC 時間 3:06，而真正造成鉅額損失的轉帳，則在約 26 分鐘後的 3:32 發生。

資安業者慢霧科技（SlowMist） 指出，這位攻擊者是名副其實的「洗錢老手」。在收到近 5,000 萬美元的 USDT 後，僅花不到 30 分鐘就完成以下步驟：

• 跨幣種閃兌： 先透過 MetaMask Swap 將 USDT 換成 DAI 。專家分析，這是為了規避 Tether 的黑名單凍結機制，因為去中心化穩定幣 DAI 並沒有這種中心化的控制措施。
• 混幣匿蹤： 攻擊者隨即將 DAI 換成約 16,690 枚以太幣，並其中 16,680 枚轉入混幣器 Tornado Cash，徹底切斷幣流追蹤路徑。

為了挽回損失，受害者已透過鏈上訊息，向詐騙者提出條件：願意支付 100 萬美元白帽獎金，換取歸還 98% 的資產。

受害者更明確警告：「我們已正式報案，並在執法部門、資安機構及多個區塊鏈協議的協助下，掌握了大量有關你具體行動的情資。」

這起案件只是今年幣圈資安風暴的冰山一角。根據 Chainalysis 最新報告，2025 年加密貨幣失竊總額已突破 34.1 億美元，刷新歷史紀錄。

值得關注的是，Casa 共同創辦人 Jameson Lopp 警告，「地址投毒」已在各大區塊鏈擴散，光是在比特幣網絡上就發現超過 4.8 萬起類似攻擊。他強烈呼籲錢包業者應開發「相似地址警告」功能，在用戶複製貼上時彈出警示，防止這類人為疏忽導致的悲劇重演。

〈交易員遭「地址投毒攻擊」！近 5 千萬 USDT 白白送給駭客〉這篇文章最早發佈於《區塊客》。