一次复杂的地址中毒攻击导致从一个加密货币地址中窃取了约2400万美元的Aave封装质押以太坊支持的USDC (aEthUSDC)。此次事件凸显了一种日益增长的、阴险的加密骗局形式,它利用用户习惯而非智能合约代码漏洞。
安全公司PeckShield报告称,一名加密钱包持有者通过地址中毒攻击损失了约2400万美元的aEthUSDC。这种骗局涉及攻击者从一个特意创建的地址向目标钱包发送一笔零值交易,该地址模仿受害者交易历史中常用地址的开头和结尾字符。其目的是诱骗用户从其历史记录中复制欺诈性地址进行后续大额交易,从而将资金直接发送给诈骗者。
盗窃发生后,攻击者迅速采取行动洗钱。这2400万美元的aEthUSDC被兑换成约2000万DAI。PeckShield识别出这些资金目前由两个攻击者控制的钱包持有,地址分别以0xdCA9和0xd0c2开头。肇事者已启动将这些被盗资金桥接到Arbitrum网络的过程,这是用于模糊资金流向并访问不同去中心化金融(DeFi)生态系统以进行进一步洗钱的常见策略。
这起2400万美元的漏洞事件,严峻地提醒着DeFi用户面临的持续安全挑战。与针对协议代码的智能合约漏洞不同,地址中毒利用了人为错误和钱包界面经常显示截断地址的设计缺陷。此次事件再次证明,即使是经验丰富的用户也容易受到日益复杂的社会工程骗局的影响。这凸显了投资者迫切需要采取严格的安全措施,例如验证完整地址和使用硬件钱包,以及钱包开发者需要引入更清晰的警告和验证机制以防止此类代价高昂的错误。
