當你檢視錢包交易記錄時,突然發現有一筆你沒有發起的0 USDT轉賬記錄,傳送者的地址首尾幾位和你常用的地址幾乎一模一樣——這就是典型的"零金額轉賬攻擊"(Zero Value Transfer Attack),也叫零值轉賬騙局。這種攻擊手法在2023年開始大規模出現,至今仍在持續造成損失。
零金額轉賬攻擊的原理是什麼?
這種攻擊利用了ERC-20代幣合約的一個特性:transferFrom函式在授權額度為0時也可以執行成功,只是轉賬金額為0。攻擊者透過以下步驟實施騙局:
第一步:監控目標地址
攻擊者使用自動化指令碼監控區塊鏈上的大額交易,找到頻繁轉賬的活躍地址。
第二步:生成相似地址
使用地址生成工具(如Vanity Address Generator)批次生成首尾幾位與目標地址相似的地址。比如你的地址是0x1234...abcd,攻擊者生成一個0x1234...abce的地址。
第三步:發起零金額轉賬
攻擊者用這個相似地址向你傳送0個USDT的轉賬。這筆交易會出現在你的交易記錄中,看起來像是你之前轉過賬的某個地址。
第四步:等你中招
當你下次需要轉賬時,如果從交易記錄中複製地址,可能會不小心複製到攻擊者的地址而不是你真正想轉的地址。一旦確認轉賬,資產就直接進了駭客的錢包。
為什麼這種攻擊能成功?
這種攻擊的成功依賴於人們的操作習慣:
習慣一:從交易記錄複製地址
很多人轉賬時不會完整核對地址,而是從歷史交易記錄中複製"熟悉的"地址。攻擊者正是利用了這個習慣。
習慣二:只核對地址的前後幾位
大多數錢包和區塊鏈瀏覽器只顯示地址的前6位和後4位(如0x1234...abcd)。攻擊者生成的相似地址在這些顯示位上一模一樣,只有中間隱藏的部分不同。
習慣三:忽略異常交易
看到一筆0金額的轉入記錄,很多人以為是系統bug或空投測試就不在意了。
受害的實際案例
2023年5月,一位使用者因為零金額轉賬攻擊損失了2000萬美元的USDT。該使用者從交易記錄中複製了一個"看似熟悉"的地址進行大額轉賬,但實際上覆制的是攻擊者精心偽造的相似地址。這筆交易確認後無法撤銷。
類似的案例在各條鏈上不斷髮生,單筆損失從幾百美元到數百萬美元不等。
如何防範零金額轉賬攻擊?
方法一:使用地址簿功能
大多數錢包和交易所都有"地址簿"或"白名單"功能。將你常用的轉賬地址預先儲存在地址簿中,每次轉賬時從地址簿選擇,而不是從交易記錄複製。
方法二:完整核對地址
每次轉賬前,仔細核對完整地址的每一個字元,而不是隻看前後幾位。至少核對地址的前10位和後10位。
方法三:先轉小額測試
大額轉賬前先傳送小額(如1 USDT)到目標地址,確認對方收到後再轉大額。雖然多花一次Gas費,但能避免大額損失。
方法四:忽略不明轉入記錄
如果交易記錄中出現你沒有發起的轉入交易,不要從這些記錄中複製任何地址。
方法五:使用支援地址標記的工具
部分錢包和區塊鏈瀏覽器支援給地址新增標籤。標記你常用的地址後,轉賬時就能直觀區分真假。
安全提醒
零金額轉賬攻擊雖然手法簡單,但利用了人們的操作疏忽,防範的關鍵在於養成良好習慣:
- 永遠不要從交易記錄中直接複製地址:使用地址簿或手動輸入
- 大額轉賬前先小額測試:確認地址正確後再轉大額
- 完整核對地址:不要只看首尾幾位,至少核對20個字元
- 保持警惕:對交易記錄中不明來源的轉入保持懷疑
- 使用最新版錢包:部分錢包已更新策略,隱藏或標記零值轉賬
- 開啟交易確認提醒:設定交易通知,及時發現異常活動
在交易所進行轉賬操作時通常有地址白名單等額外保護。幣安官網體驗更安全的轉賬流程,或幣安官方APP,蘋果使用者參考iOS安裝教程隨時管理。
零金額轉賬會損害我的錢包嗎?
不會。零金額轉賬本身不會導致你的資產損失,它只是在你的交易記錄中留下一條記錄。只有當你誤複製了攻擊者的地址並主動轉賬時才會造成損失。
能阻止別人向我傳送零金額轉賬嗎?
不能。區塊鏈的開放性意味著任何人都可以向任何地址傳送交易(包括零金額)。你無法阻止這些交易的發生,但可以透過良好的操作習慣避免中招。
只有USDT會遇到零值轉賬攻擊嗎?
不只是USDT。任何ERC-20代幣都可能遭受這種攻擊。USDT因為是使用最廣泛的穩定幣,所以成為了攻擊者的首選目標。
交易所提幣時也會遇到這種攻擊嗎?
交易所提幣時需要你手動輸入或從地址簿選擇地址,不會直接顯示鏈上的零值轉賬記錄。所以從交易所提幣時遭遇這種攻擊的風險相對較低,但仍需仔細核對地址。