加密投資者中雙重釣魚攻擊失$260萬USDT

一名加密投資者在短短三小時內，遭遇兩宗幾乎一模一樣的穩定幣釣魚攻擊，損失高達260萬美元，突顯區塊鏈金融日益猖獗及精密的威脅：零額轉帳詐騙。

這宗事件於5月26日由加密安全公司Cyvers標示，涉及兩筆大額Tether（USDT）交易——第一筆為84.3萬美元，數小時後再次轉走175萬美元。兩次案件受害者懷疑同樣墮入一種稱作「零額轉帳」的鏈上詐騙陷阱，這類釣魚手法近年愈來愈多地針對用戶對錢包地址的行為模式下手。

這宗雙重損失突顯用戶端錢包介面的局限，加密行業社交工程愈趨智能化，以及加強Web3安全防護的迫切需要。

零額轉帳的原理，是利用用戶查閱交易記錄及信任地址的習慣缺陷。此技術濫用ERC-20標準的transferFrom功能，讓任何人只要金額設為零，便能無需戶主授權發起代幣轉帳。

因為沒有真實資產轉出，這些虛假的零額交易毋須受害者簽署，卻仍會被錄於區塊上，往往導致受害人誤以為這些騙徒地址是過往信任過的聯絡人。

換言之，詐騙者透過植入仿真而貌似無害的零額交易，「投毒」受害人錢包的交易歷史。事主日後進行真實轉帳——如用「錢包歷史」或複製過去互動過的地址時——很可能誤將資金送到犯罪分子設定的假冒地址。

這類攻擊還衍生自稱為「地址投毒」的相似手法，騙徒由視覺上與用戶友人相似的地址，發送少量加密貨幣，誘使用戶只檢查地址首尾數字（如頭四尾四），錯信已驗證過，實則未審查整個字串。

零額轉帳和地址投毒的危險，不在於破解密碼學協議，而是操控用戶行為。加密錢包介面——尤其是瀏覽器或手機應用——往往以過往地址紀錄或交易作安全、信任與歷史依據，形成無需程式碼漏洞、而是人性決策的攻擊面。

在這次260萬美元被盜案中，受害人很大機會依賴交易記錄發起或查核收款地址，以為對方是熟人或已信任的聯絡。短時間內連中兩次，顯示受害人未能即時察覺首次損失，或認為首筆交易屬正常，反映此類詐騙的潛伏與迷惑力。

被盜資產全屬USDT（Tether），此類穩定幣每日鏈上成交以十億美元計，廣為機構與散戶大額轉賬所用，因此成為針對高值錢包精準詐騙的目標。

這宗事件並非孤例。2025年1月一份研究指出，2022年7月至2024年6月期間，僅Ethereum與BNB Chain已錄得超過2.7億次地址投毒攻擊。雖然當中只有6,000次得手，損失金額總計已超過8,300萬美元。

恆常大量嘗試（不論是否成功），證明這類攻擊成本低而效益高，因用戶習慣及錢包介面缺乏防釣魚功能令其長期有效。

單一個案損失頻頻毫不輕微。2023年，一宗類似零額詐騙曾導致2,000萬USDT失竊，事後Tether才將犯案錢包列入黑名單。惟黑名單並非普遍解決方法——大部份代幣並無發行方黑名單功能，且不同區塊鏈支援的干預方式差異很大。

為應對零額轉帳釣魚攻勢，多間網安與錢包基建公司正嘗試以智慧檢測系統減低風險。

年初，鏈上安全公司Trugard與Webacy協作，推出專為標記可能投毒攻擊的AI檢測系統。據開發商聲稱，其工具在歷史個案測試中準確率高達97%。

該系統透過分析交易原始數據、轉帳習慣及地址相似度，再於交易前即時向用戶發出警報。不過現時主流錢包支援第三方安全工具仍屬初步階段，未廣泛普及。

有些錢包開發者亦正考慮重設介面，例如標示零額交易、地址以信任分數上色、更易核對全地址等，希望可降低詐騙成功率。但若未能業界統一標準，用戶客觀上仍處於高風險中。

零額詐騙雖技術層面簡單，但追究責任極為困難且罕有成功。不少相關騙案來自匿名/海外實體，且資金經去中心化交易所、混幣器或跨鏈橋迅速清洗。

穩定幣發行商如Tether僅在能行使中心化權力時介入，且前題是資金未被動用或仍可追蹤。一旦贓款流入隱私池或轉換為其他資產，基本無法追回。

執法部門亦常欠缺專業技術或跨境權力，除非該案涉及龐大組織犯罪，否則難以介入調查。

目前，用戶在處理大額區塊鏈轉帳時必須異常小心。建議做法包括：

零額釣魚攻勢愈趨普遍，體現Web3威脅已從協議漏洞，轉移至針對鏈上數據進行社交工程攻擊。公鏈資產價值日增，這類攻擊手法只會更進化，要保護資金，用戶教育與錢包工具必須同步提升。