一名加密投資人於三小時內,在兩起幾乎相同的釣魚攻擊中損失價值 260 萬美元的 穩定幣,突顯了區塊鏈金融領域中日益嚴峻且精密的威脅:零轉帳詐騙。
這起事件於 5 月 26 日被加密資安公司 Cyvers 發現,涉及 兩筆大型泰達幣(USDT)交易——第一筆高達 84.3 萬美元,幾小時後第二筆金額達 175 萬美元。受害者兩次都遭遇了一種稱為「零數值轉帳」的鏈上詐騙手法,這是詐騙集團近期針對使用者錢包位址操作習慣而頻繁採用的手段。
此次雙重損失凸顯了現有錢包介面的侷限、加密犯罪中智能社交工程的興起,以及 Web3 領域迫切需要強大安全機制。
零數值轉帳詐騙利用使用者解讀交易紀錄及信任錢包位址的弱點。該技術濫用 ERC-20 代幣標準的 transferFrom 函數,使任何人都能在對方不知情下發起「金額為零」的代幣轉帳。
由於沒有實際代幣移動,被偽造的零值交易不需要目標錢包的數位簽章,但仍會記錄在鏈上,往往誤導受害者以為這個造假的位址曾經被信任過。
事實上,詐騙者透過注入看似正常的零值轉帳,將受害者的歷史紀錄「投毒」,讓這些虛假位址顯得合法可信。當受害者日後再進行真實交易時,如果直接複製紀錄中的位址,就有可能錯誤地把資金匯往詐騙者的惡意帳號。
這種手法延伸自另一種稱為位址投毒的攻擊,詐騙者會從設計成外觀類似於受害者常用聯絡人的錢包發送小額加密貨幣。這通常利用了使用者只比對位址前後幾位數字的習慣,而未檢查完整位址。
進階型釣魚詐騙
零轉帳與位址投毒的真正危害,不在於破解加密協定,而是誘導、操控使用者行為。許多錢包介面——特別是瀏覽器和行動裝置上的錢包——經常將位址記錄或過往交易作為安全性、信任度或曾經使用的依據。這種設計暴露出的攻擊面,不在於代碼漏洞,而是人為判斷。
就此次 260 萬美元被盜事件,受害人很可能是利用錢包的交易紀錄發起或核對位址,以為自己正在轉帳給熟悉或曾信任過的人。該攻擊在三小時內重複發生,顯示受害者要不是未及時發覺損失,就是相信首筆交易屬實——顯示此類詐騙的隱蔽性與迷惑性。
本案全部損失都為 USDT(泰達幣),這是一種每日鏈上交易龐大的主流穩定幣。由於 USDT 被廣泛用於大型機構及零售交易,故成為鎖定高價錢包的精確釣魚詐騙主要目標。
投毒攻擊不斷增加
此事件並非個案。一份於 2025 年 1 月發布的綜合研究顯示,2022 年 7 月至 2024 年 6 月間,Ethereum 和 BNB Chain 共記錄逾 2.7 億次位址投毒攻擊。儘管僅有 6,000 次最終得手,損失總計超過 8,300 萬美元。
無論成敗,巨大攻擊量顯示投毒策略成本低廉、依然頗具成效,主因是用戶行為習慣以及主流加密錢包缺乏專門防釣魚體驗設計。
值得注意的是,個別案例損失金額亦極為可觀。2023 年,就有類似零轉帳詐騙造成 2,000 萬美元 USDT 被盜,之後 Tether 將該錢包加黑名單。然而,黑名單並非萬靈丹——多數代幣並未支援發行者封鎖機制,且並非所有區塊鏈都能執行此類干預。
AI 偵測工具與介面更新
針對零轉帳釣魚風潮,多家資安與錢包基礎設施公司正設法以更聰明的偵測系統降低風險。
今年初,區塊鏈安全公司 Trugard 與鏈上安全協定 Webacy 合作推出一套 AI 偵測系統,專門針對潛在的位址投毒事件發出警告。開發團隊表示,該工具在歷史攻擊資料測試下準確率達 97%。
系統會分析交易元資料、轉帳行為與地址相似性,並在用戶確認交易前發出警報。不過,主流錢包普遍整合第三方安全工具的進度仍有限,廣泛採用尚需時日。
部分錢包開發者也在探討如何改善交易紀錄呈現方式,例如標示零值轉帳、根據信任分數對位址上色,以及簡化完整位址驗證等,藉此降低詐騙成功機率。但在這些設計成為產業標準前,用戶風險仍然存在。
法律與監管盲點
零轉帳詐騙本身技術門檻低,卻極難透過法律追究肇事者。大多數這類詐騙來自化名或海外團體,資金經去中心化交易所、混幣器或跨鏈橋迅速清洗。
穩定幣發行商如 Tether 僅能在具備中心化控制時介入——且前提是資金尚未被動用或可追蹤。一旦涉案資金流向混合池或轉為其他資產,追贓幾乎無望。
此外,執法機關除非釣魚事件為大型組織活動一部分,否則通常缺乏必要的技術知識或跨境執法權限。
最後一道防線
現階段,終端用戶在與區塊鏈位址互動——尤其是大額轉帳時——應加倍謹慎。最佳實踐如下:
- 一定要核對完整錢包位址,而非僅檢查前/後幾位。
- 避免直接以錢包交易紀錄複製位址。
- 親自從官方來源收藏常用位址。
- 優先使用具備防釣魚機制的錢包。
- 留意錢包收到的零值轉帳,視為潛在警訊。
零轉帳釣魚詐騙的興起,標誌著 Web3 威脅焦點由協定層駭客轉向結合鏈上元資料的社交工程。隨公鏈資產總額成長,詐騙手法亦將日益精進——用戶教育與更完善的錢包工具,仍是保護資金安全的關鍵。