电子钱包MetaMask警告用户网址下毒新兴诈骗手法

知名电子钱包MetaMask App开发商本周提醒用户一种名为网址下毒（address poisoning）的新兴诈骗手法，呼吁小心被清空钱包帐户。

MetaMask说明，网址下毒是利用电子钱包网址以16进制位元组成、复杂难记的特点，以及一般人使用copy and paste直接取用交易记录的习惯达成的攻击手法。当使用者从自己的电子钱包传送一笔交易给友人，攻击者可以监看特定币别（如稳定币）交易，再利用网络上随手而得的vanity网址产生器，产制一个近似用户（或用户友人）的电子钱包网址。这个通常是头、尾数个字元和用户钱包网址相同。

之后攻击者从这个新成立的帐号传送极少钱，或0元交易到使用者电子钱包，这个帐号的网址也会留存在用户交易记录中。由于MetaMask在交易记录使用短网址，用户只看得到头、尾几个字元。从短网址上看，和真实钱包网址一模一样，此时已经被下毒。

下次用户交易时，极可能copy and paste从交易记录复制到攻击者持有的电子钱包，而将资产（加密货币）转给攻击者，因为一般人可能只会注意头尾几个字元。基于区块链上的交易不可逆，转出去的这笔钱也拿不回来。

MetaMask建议，用户应小心检查交易的电子钱包，最好检查每个字元，或使用硬体电子钱包，因为此类电子钱包会要求使用者检查并确认网址。另一个方法是将常用的电子钱包网址加入联络人资料，以减少复制到恶意钱包的风险。最后，MetaMask建议先进行一次小额交易测试，确认安全后再进行大笔交易。当然，缺点是用户必须支付2次gas fee手续费。

一名用户则建议在电子钱包网址中使用ENS域名（.eth），它具有人类可辨识性（如bob.eth, Alice.eth），因此用户无需检查所有位元，使诈骗电子钱包无所遁形。

Tags：

转载请注明出处：https://www.eoje.cn/metamaskqb/3158.html