零U投毒猖獗》Metamask教你「5招自保」、V神：建議用ENS

發表於 2023-01-13 14:00 作者： 區塊鏈情報速遞pro

小狐狸錢包 Metamask 昨（12）日警告用戶近期名為「零 U 地址投毒」的攻擊猖獗，專門詐取粗心用戶資產。V神則建議，可以用 ENS 域名。 （前情提要：安卓惡意軟體GodFather「盜取2FA驗證碼」，逾200種加密錢包遭攻擊） （背景補充：研究｜最常見的 DeFi 經濟模型攻擊：幣價操縱、預言機錯誤、槓桿清算…）

加密貨幣駭客為竊取用戶資金又有新興攻擊手法，近期有多個區塊鏈上頻繁出現零 U 轉帳現象，駭客企圖透過發送首尾相同的地址來迷惑使用者，使粗心大意的使用者轉錯錢包地址。

一種名為「地址投毒」地新騙局正在興起。
它的工作原理：在你正常發送交易後，騙子會發送一筆 0 美元的代幣交易，來向交易歷史「投毒」。

A new scam called 'Address Poisoning' is on the rise. Here's how it works: after you send a normal transaction, the scammer sends a $0 token txn, 'poisoning' the txn history. (1/3)

— MetaMask Support (@MetaMaskSupport) January 11, 2023

據 Dune Analytics 數據顯示，近兩個月以來，以太坊上因零 U 投毒攻擊，受害者已損失超 1,124 萬美元、BNB 鏈上已累積 95 萬美元，且攻擊災情似乎有越來越嚴重的傾象。

零 U 投毒如何攻擊被害者？

分析「零 U 地址投毒」的模式，它的危害性並不如能直接盜取用戶私鑰的「釣魚攻擊」、或是攻擊合約漏洞的影響。但對於習慣從交易歷史複製錢包地址的用戶來説，一個粗心將可能造成巨大財產損失。

「零 U 地址投毒」的詐騙手法可以簡單分為 3 步：

1. 詐騙者監控你正常轉帳的交易
2. 使用地址生成器創建一個與你轉帳對象相近的地址（駭客可以在幾秒內生成與用戶互動地址前後 7 位相同的錢包）
3. 用生成的雷同地址向用戶轉帳 0 美元

完成以上步驟後，被攻擊者的交易歷史中，就會摻雜錯誤的雷同地址，只需靜靜等待被攻擊者在下一次轉帳時選錯交易地址。

Metamask 5 個建議助用戶遠離詐騙

Metamask 表示，雖然該攻擊的手法很簡單，但特別容易成功，為防止更多人遭受攻擊並蒙受錢財損失，Metamask 官方向用戶公告提出以下 5 點安全建議 ：

• 在轉帳前務必多次確認地址，尤其是涉及金額較大時，檢查每個字符是確保安全的唯一方法
• 避免從歷史交易複製地址的行為
• 使用冷錢包，通常會再次提醒用戶檢查轉帳地址
• 將常用地址添加至地址薄
• 考慮先進行一筆測試交易

V 神建議使用 ENS 域名

對於猖獗的零 U 攻擊，以太坊共同創辦人 V 神也表示，建議用戶可以使用 ENS 地址，減少檢查地址時的麻煩。

消除此攻擊的另一種解決方案是使用 ENS 域名，如 Bob.eth 或 Alice.eth，這樣就不必檢查所有十六進制的位元。

Another solution that eradicates this attack is putting an ENS domain to your address, with a .eth domain (ENS) it is not necessary to check all the hexadecimals, bob.eth or Alice.eth will always be bob.eth and Alice.eth, scammers have the days counted by this method

— enero.eth (@patriota_eth) January 12, 2023

?相關報導?

MetaMask 宣布「集成Paypal」購買以太坊！首波開放美國

Metamask隱私》Consensys更新政策：用戶數據留存時間將縮減至7天

快訊》RTFKT 營運長全部 CloneX 遭盜賣！發推稱被釣魚攻擊

標題：零U投毒猖獗》Metamask教你「5招自保」、V神：建議用ENS

地址：https://www.coinsdeep.com/article/8144.html

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。