一名受害者在三小时内遭遇了两次诈骗,总共损失了250万美元的稳定币。
根据加密合规公司Cyvers在5月26日分享的数据,该受害者先后发送了价值84.3万的泰达币(USDT),约三小时后又发送了260万USDT。Cyvers表示,这一诈骗使用了所谓的零值转账方法,这是一种复杂的链上钓鱼形式。
来源: Cyvers警报
零值转账是一种链上钓鱼技术,它滥用代币转账功能来欺骗用户向攻击者发送真实资金。攻击者利用代币的transferFrom功能,将零枚代币从受害者钱包转移到一个伪装地址。
由于转账金额为零,因此不需要受害者私钥的签名就可以包含在链上。因此,受害者会在其交易历史中看到这笔出账交易。
受害者可能会信任这个地址,因为它包含在他们的交易历史中,误以为它是一个已知或安全的接收方。然后,他们可能会在未来的交易中向攻击者的地址发送真实资金。
在一个备受关注的案例中,一名使用零值转账钓鱼攻击的诈骗者成功窃取了价值2000万美元的USDT,随后在2023年夏天被该稳定币发行方列入黑名单。
地址污染的高级形式
零值转账被认为是地址污染的一种演变——这是一种策略,攻击者从一个与受害者真实地址非常相似的钱包地址(通常具有相同的开头和结尾字符)发送少量加密货币。其目的是诱使用户在未来交易中不小心复制并重复使用攻击者的地址,从而导致资金损失。
该技术利用了用户在发送加密货币时通常依赖部分地址匹配或剪贴板历史的习惯。具有相似开头和结尾字符的自定义地址也可以与零值转账结合使用。
跨区块链威胁不断增长
2025年1月的一项研究发现,在2022年7月1日至2024年6月30日期间,BNB链和以太坊上发生了超过2.7亿次污染尝试。其中,6000次尝试成功,导致损失超过8300万美元。
该报告发布之际,加密网络安全公司Trugard和链上信任协议Webacy宣布推出一套基于人工智能的系统,用于检测加密钱包地址污染。这款新工具据称在已知攻击案例中的成功率高达97%。