加密货币用户误转价值300万美元的PYTH代币至诈骗者钱包

近日，一位未具名的加密货币持有者因错误转账，将价值超过300万美元的PYTH代币转入了诈骗者的钱包。这一失误发生在受害者依赖交易历史记录，复制并使用了虚假的存款地址时。

诈骗手法揭秘

根据区块链分析机构Lookonchain于11月25日发布的分析报告，一名未知的诈骗者创建了一个地址，该地址的前四个字符与受害者的存款钱包完全匹配。随后，诈骗者向受害者发送了价值约0.00025美元的0.000001 SOL，导致虚假账户出现在受害者的交易历史中。

由于未进行仔细核对，受害者直接从交易历史中复制了伪造的地址，看到前四个字符匹配后，便将价值约308万美元的700万PYTH代币转给了犯罪分子，而未再次核对唯一标识符。

安全专家将此类攻击称为"地址投毒"。这种攻击利用了加密货币用户的常见习惯：依赖交易历史来复制唯一的钱包标识符，而不是从官方来源或可信联系人处获取。虽然这种做法看似方便，但往往存在风险。

反诈骗平台Scam Sniffer最近强调了另一个案例，据称一名用户因从转账历史中复制了错误地址而损失了1.29亿美元。在该案例中，欺骗性账户的最后六个字符与正确地址相同。

在许多钱包中，通常只显示地址的前六个和后六个字符，这意味着确认地址的真实性可能需要比粗略查看更多的步骤。幸运的是，对于该个人或实体，诈骗者在一小时内归还了被窃资金。

今年5月，一名以太坊用户损失了价值6800万美元的1，155枚包装比特币（wBTC）。而去年12月，数名Safe Wallet用户因使用相同手法被盗200万美元。

不法分子通常使用两种方法实施地址投毒：零值转账和伪造代币。在零值转账中，诈骗者使用真实的代币合约，但进行极低价值的交易，以在潜在受害者的链上交易历史中显示误导性活动。

相反，伪造代币方法涉及创建虚假的代币合约来模仿USDT或USDC等真实代币。然后诈骗者会寻找真实的代币交易，当他们发现一笔交易时，就会将他们的伪造代币转移到发起交易的地址。这给用户造成了一种印象，以为他们将资金发送到了某个账户，而实际上并非如此。

当用户查看他们的钱包历史或使用区块链浏览器时，可能会误将伪造的代币转移视为他们所做的真实交易。当想要重复交易时，他们可能会无意中复制和粘贴虚假地址，将资金发送到诈骗者的钱包。