一次複雜的地址中毒攻擊導致從一個加密貨幣地址中竊取了約2400萬美元的Aave封裝質押以太坊支持的USDC (aEthUSDC)。此次事件凸顯了一種日益增長的、陰險的加密騙局形式,它利用用戶習慣而非智能合約程式碼漏洞。
安全公司PeckShield報告稱,一名加密錢包持有者透過地址中毒攻擊損失了約2400萬美元的aEthUSDC。這種騙局涉及攻擊者從一個特意創建的地址向目標錢包發送一筆零值交易,該地址模仿受害者交易歷史中常用地址的開頭和結尾字符。其目的是誘騙用戶從其歷史記錄中複製欺詐性地址進行後續大額交易,從而將資金直接發送給詐騙者。
盜竊發生後,攻擊者迅速採取行動洗錢。這2400萬美元的aEthUSDC被兌換成約2000萬DAI。PeckShield識別出這些資金目前由兩個攻擊者控制的錢包持有,地址分別以0xdCA9和0xd0c2開頭。肇事者已啟動將這些被盜資金橋接到Arbitrum網絡的過程,這是用於模糊資金流向並訪問不同去中心化金融(DeFi)生態系統以進行進一步洗錢的常見策略。
這起2400萬美元的漏洞事件,嚴峻地提醒著DeFi用戶面臨的持續安全挑戰。與針對協議程式碼的智能合約漏洞不同,地址中毒利用了人為錯誤和錢包介面經常顯示截斷地址的設計缺陷。此次事件再次證明,即使是經驗豐富的用戶也容易受到日益複雜的社會工程騙局的影響。這凸顯了投資者迫切需要採取嚴格的安全措施,例如驗證完整地址和使用硬體錢包,以及錢包開發者需要引入更清晰的警告和驗證機制以防止此類代價高昂的錯誤。
