知名电子钱包MetaMask App开发商本周提醒用户一种名为网址下毒(address poisoning)的新兴诈骗手法,呼吁小心被清空钱包账户。
MetaMask说明,网址下毒是利用电子钱包网址以16进制字节成、复杂难记的特点,以及一般人使用copy and paste直接取用交易记录的习惯完成的攻击手法。当用户从自己的电子钱包发送一笔交易给友人,攻击者可以监看特定币别(如稳定币)交易,再利用网络上随手而得的vanity网址产生器,生产机制一个近似用户(或用户友人)的电子钱包网址。这个通常是头、尾数个字符和用户钱包网址相同。
之后攻击者从这个新成立的账号发送极少钱,或0元交易到用户电子钱包,这个账号的网址也会留存在用户交易记录中。由于MetaMask在交易记录使用短网址,用户只看得到头、尾几个字符。从短网址增至,和真实钱包网址一模一样,此时已经被下毒。
下次用户交易时,极可能copy and paste从交易记录复制到攻击者持有的电子钱包,而将资产(加密货币)转给攻击者,因为一般人可能只会注意头尾几个字符。基于区块链上的交易不可逆,转出去的这笔钱也拿不回来。
MetaMask建议,用户应小心检查交易的电子钱包,最好检查每个字符,或使用硬件电子钱包,因为此类电子钱包会要求用户检查并确认网址。另一个方法是将常用的电子钱包网址加入联系人资料,以减少复制到恶意钱包的风险。最后,MetaMask建议先进行一次小额交易测试,确认安全后再进行大笔交易。当然,缺点是用户必须支付2次gas fee手续费。
一名用户则建议在电子钱包网址中使用ENS域名(.eth),它具有人类可识别性(如bob.eth, Alice.eth),因此用户无需检查所有位元,使诈骗电子钱包无所遁形。