內容目錄
大戶遭釣魚攻擊 7000 萬美元
一位鯨魚大戶於五月 3 號因為釣魚攻擊,損失了約 1,155 枚 WBTC,換算價值約為七千萬美元的資產。不過幸運的是駭客於一週後將資產全數歸還。
該大戶於五月 2 號花費 2960 萬美元的 DAI 購買 502 枚的 WBTC,並打算開一個新錢包存放這些資產,這位大戶也是謹慎,將存放 0.05 ETH 作為測試。
攻擊者發現該大戶的行動,提前產生大量假地址並監控後者的鏈上活動。當檢測到大戶開始要轉移資金時,攻擊者立即使用具有相同起始和結束字母的釣魚地址將 0 美元 ETH 轉移給鯨魚,目的是讓大戶的交易紀錄中充滿這些假地址。
因為許多應用服務會隱藏地址的中間部分,例如顯示「0x31d7….8ae1」等形式,因此釣魚地址在此情況就會跟正確的地址看起來相同。最終成功騙到此大戶複製此地址,並將 WBTC 轉帳至給攻擊者。
不過幸運的是,該攻擊者因為身份潛在被曝光的風險,最終有將資源全數歸還,不過或許其他人不會那麼幸運,該如何防範此類釣魚攻擊?
如何防範釣魚地址攻擊?
首個較為簡單執行的方法,就是確實檢查地址,除了最前端與最尾端之外,也適當檢查中間的字元,或者多看幾位數,不要只看前後四位數。此動作雖造成多一些麻煩卻可以大大減少風險。
設置錢包白名單,不論是這置常用的轉帳地址,或者安裝防釣魚外掛,除去錯誤地址與可疑小額地址的偵測功能,都可以減少與釣魚地址的互動機會。
(一按錢全不見!「離線授權簽名」有何釣魚手法與防範方式?假 EigenLayer 案例)
最後則是使用習慣,複製錢包地址應該從源頭 (例如錢包頁面) 複製而非第三方介面,或者是每次在大額轉賬之前應該先進行小額轉帳測試與落實分批轉帳等,都是保護資產的有效方式。
在產業快速發展的階段上,此類詐騙與釣魚地址的發生機率會越來越高,做好自身資產防護與補充相關知識,已經是參與生態時不可忽略的一環。
(四月釣魚攻擊報告:34K 名受害者、3800 萬美元丟失,Base 駭客增加 145%)