前币安CEO赵长鹏(CZ)在社交媒体平台X上发文,呼吁区块浏览器Etherscan应彻底过滤掉地址投毒(address poisoning)攻击产生的垃圾交易。
CZ指出,TrustWallet已经实现了此类交易的过滤功能,而Etherscan则继续显示这些零价值的交易,这些交易充斥着用户钱包,可能导致用户受骗。
Etherscan方面曾发布警告,解释了这种攻击方式:攻击者试图通过在交易记录中显示与合法地址极其相似的地址,诱骗用户在发送资金时复制错误的地址。
一位用户Nima在自己的钱包遭到此类自动化攻击后表示:“很多人会因此受害。”
CZ发布的推文显示:“区块浏览器不应显示这些垃圾交易。应该很容易就能彻底过滤掉它们。@TrustWallet 已经这样做了。这可能会对未来AI代理之间的微交易产生一定影响。届时,我们也可以利用AI来过滤垃圾信息。”
Xeift进一步澄清,Etherscan默认情况下会隐藏零价值的转账。然而,BscScan和Basescan等平台则要求用户主动点击“隐藏0金额交易”按钮,才能移除地址投毒攻击产生的交易记录。
这种默认设置的差异,导致部分用户暴露在可能导致将资金发送至攻击者控制地址的垃圾信息之下。
CZ也提到,这种过滤机制未来可能会影响AI代理之间的微交易,并建议届时可以使用AI技术来区分合法的零价值转账和垃圾信息。
另一位用户Dr. Favezy则指出,除了地址投毒,代币兑换(swaps)也带来了额外的风险。他提到昨天一个从0x98钱包进行的交易,将5000万美元的资产兑换成了3.6万美元,这引发了关于路由和流动性来源选择的担忧。
Favezy写道:“我真心希望AI代理能够通过正确的路由和最佳的流动性来源进行交易,以避免这种情况的发生。”
**地址投毒攻击的工作原理**
该攻击通过利用transferFrom函数发起零价值代币转账。攻击者发送0价值的代币,目的是创建一个出现在受害者交易历史中的转账事件。由于每个地址默认对0价值代币拥有批准权,因此可以触发事件的发生。
随后,攻击者结合地址欺骗技术,增加受害者复制错误转账地址的可能性。被欺骗的地址在开头和结尾的字符上与合法地址高度相似,极易混淆视听。