北京时间昨日凌晨,X 名为 Specter 的链上分析师发现了一起因为没有仔细检查转账地址而导致近 5000 万枚 USDT 被转入黑客地址的案件。

据笔者查证,该地址(0xcB80784ef74C98A89b6Ab8D96ebE890859600819)于北京时间 19 日 13 时左右从 Binance 提出 50 枚 USDT 进行了大额提币前的测试。

大约 10 小时之后,该地址从 Binance 一次性提出了 49,999,950 枚 USDT,加上之前提出的 50 USDT,总计正好 5000 万。

大约 20 分钟之后,收到 5000 万枚 USDT 的地址就先向 0xbaf4...95F8b5 转入 50 枚 USDT 用于测试。

就在测试转账完成后的不到 15 分钟时间,黑客地址 0xbaff...08f8b5,就向剩下 49,999,950 枚 USDT 的地址转入 0.005 枚 USDT。黑客使用的地址与接收 50 枚 USDT 的地址开头结尾都很相似,是一次明显的「地址投毒」攻击。

10 分钟之后,当 0xcB80 开头地址准备将剩下的 4000 多万枚 USDT 转走时,可能是疏忽之下复制了上一笔交易,也就是黑客进行「投毒」的地址,直接把将近 5000 万枚 USDT 送到了黑客的手上。

眼见 5000 万美元到手,黑客在 30 分钟后就开始了洗钱动作。据慢雾监测,黑客先通过 MetaMask 将 USDT 交易为 DAI,再使用全部的 DAI 买入约 16690 枚以太坊,留下 10 ETH 后剩余的以太坊全部转入 Tornado Cash。

北京时间昨日 16:00 左右,受害者在链上对黑客喊话称已正式提起刑事诉讼,并已在执法部门、网络安全机构和多个区块链协议的协助下收集到大量关于该黑客活动的可靠情报。失主表示黑客可以留下 100 万美元,并将剩余 98% 的资金归还,如果黑客照做则不再追究;如果不配合就将通过法律途径追究黑客的刑事和民事责任,并将公开黑客身份。但截至目前,黑客还没有任何动静。

据 Arkham 平台整理的数据,该地址与 Binance、Kraken、Coinhako、Cobo 地址均有大额转账记录。Binance、Kraken 和 Cobo 无需介绍,而 Coinhako 可能是一个相对陌生的名字。Coinhako 是一家成立于 2014 年的新加坡本地加密货币交易平台,于 2022 年获得新加坡金融管理局颁发的大型支付机构牌照,属于新加坡受监管的交易平台。

鉴于该地址使用多地交易平台以及 Cobo 托管服务,以及在案发 24 小时内就迅速联系各方完成了对黑客的追踪的能力,笔者猜测该地址大概率属于某机构而非个人。

「不小心」酿成大错

被「地址投毒」攻击成功的唯一解释就是「粗心大意」,此类攻击只要在转账前再次核对一下地址就可以被避免,但显然这次事故的主人公省下了这个关键的步骤。

地址投毒攻击从 2022 年开始出现,而故事的起源来自于「靓号地址」生成器,也就是一个可以定制 EVM 地址开头的工具。例如笔者本人就可以生成一个 0xeric 开头的地址来让地址更加标签化。

该工具后来被黑客发觉因为设计问题可以暴力破解私钥,从而导致了几起重大的资金盗窃事件。但生成定制化开头和结尾的能力也让一些图谋不轨的人想到了一个「鬼点子」:通过生成与用户常用转账地址开头结尾相似的地址,并向用户常用的其他地址转账,这样某些用户就可能因为粗心大意,将黑客地址当成自己的地址从而主动将链上资产送进黑客的口袋。

过往的链上信息显示,0xcB80 开头地址在此次攻击之前就是黑客投毒的重要目标之一,而对其进行地址投毒攻击始于接近 1 年前。这种攻击方式本质上就是黑客在赌你总有一天会因为嫌麻烦或者不注意而上当,也恰恰是这种一眼就能看穿的攻击方式,反而让「大马虎」们前赴后继成为受害者。

针对此次事件,F2Pool 联创王纯发推表达了对受害者的同情,并称其去年为了测试自己的地址是否出现了私钥泄漏的情况,就转了 500 枚比特币过去,然后就被黑客盗走了 490 枚比特币。虽然王纯的经历与地址投毒攻击无关,但其很可能是想表达每个人都有「犯蠢」的时候,不应苛责受害者的大意,而是应该把矛头指向黑客。

5000 万美元不是小数目,但并非此类攻击被盗金额之最。2024 年 5 月,一地址因此类攻击而向黑客地址转入了价值超 7000 万美元的 WBTC,但受害者最终在安全公司 Match Systems 和 Cryptex 交易平台】的协助下,通过链上协商追回了几乎所有资金。不过本次事件中黑客已迅速将被盗资金交易为 ETH 并转入 Tornado Cash,最终是否能追回犹未可知。

Casa 联合创始人兼首席安全官 Jameson Lopp 在 4 月警告称地址投毒攻击正在迅速蔓延,自 2023 年以来仅在比特币网络上发生的此类事件就高达 4.8 万起。

包括 Telegram 上的虚假 Zoom 会议链接在内,这些攻击手段称不上高明,但也正是这种「朴素」的攻击方式反而会让人放松警惕。对于黑暗森林中的我们而言,多长一个心眼永远都不会错。