近一周，0U 转账的链上地址投毒攻击愈演愈烈，截至12月2日，已经有超过37W地址被投毒，总计92个受害地址，被盗取金额超过164W USD。UTC时间11月2日10点38分，有一位链上用户损失惨重，近100万美金因投毒而被转到黑客地址。

本文由 X-explore 与吴说区块链联合发布。

例如，受害者A发出一笔正常交易将452 BSC-USD发给B后，会收到C转来的0 BSC-USD，同时，在同一笔交易hash内用户A自己也会不受控制的给C转0 BSC-USD（实现了“一来一回”的0 BSC-USD转账操作）

在社区中，很多用户不知所以然，担心自己的钱包私钥已经泄漏，攻击者正在窃取资产。其实遇到这种情况的用户不用紧张，大家的资产是安全的，私钥并没有泄漏，只需要仔细确认地址小心别转错账就没事。

黑客在链上监控几个稳定币的转账信息，捕获受害者地址A正常发送给用户B的转账信息；精心构造与用户地址B首尾一致的黑客地址C，使受害者A与黑客地址C互相转帐0U。（这里攻击者可以使用靓号生成工具 Profanity，在几秒内生成与用户地址前后7位相同的地址）；受害者A下次转账时粗心大意直接复制历史交易的地址时，很容易错误复制到黑客准备的地址C，从而将资金转错账。

截止12月2日，在BSC与ETH链上的攻击次数分别超过32万次和5万次，受攻击影响的独立地址数分别超过16万个以及4万个。从趋势上看，BSC链自从11月22日开始爆发，ETH链则从11月27日开始爆发，两条链的攻击规模均愈演愈烈。此外，可以看到攻击发生时间有显著规律性，在每天UTC时间17点到0点攻击量级显著减少。疑似攻击者处于亚洲时区。

截止12月2日，总共有 92 个独立地址受骗，累计被骗金额达到 164万USD。伴随着攻击者攻击目标的增加，可以预见，近期还会不断有大量用户被骗。其攻击资金的来源地址与OKX.com存在关联，攻击者通过使用Transit.Finance跨链桥将原始攻击资金从TRON链转移到BSC链上。其盗取资金最终归集到Huobi.com，攻击者依然使用Transit.Finance跨链桥将盗取资金转移到TRON链上。

阅读更多