#EthereumWarnsonAddressPoisoning

$50M USDT 針對類似以太坊地址的釣魚事件暴露了加密安全中的一個系統性問題，這不僅僅是用戶錯誤：在對抗環境中，截斷的錢包地址本質上是不安全的，而生態系統已經依賴這種危險的做法太久了。大多數錢包僅顯示地址的前幾個和後幾個字符，這在某種程度上隱性地訓練用戶假設僅驗證可見部分就足夠了。攻擊者利用這種可預測性，通過生成具有相同前綴和後綴但僅在隱藏的中間部分不同的地址來進行攻擊，這個任務在計算上是便宜且在規模上完全可行。一旦這樣的類似地址被引入到工作流中——無論是通過被侵入的信息、釣魚連結、復制的交易歷史，還是惡意修改的聯繫人列表——錢包用戶界面通常不會向用戶提供任何有意義的信號，表明目標是不正確的，而一次點擊可以不可逆轉地轉移數百萬美元。這造成了一個危險的認知陷阱：用戶被期望驗證他們無法合理檢查的長十六進制字符串，而界面則主動鼓勵攻擊者能夠利用的捷徑。大多數人並不是因爲疏忽而不驗證完整地址，而是因爲工具本身規範了部分驗證，優化了便利性、極簡主義或可讀性，而非在敵對環境中的安全性。防止這些事件的發生需要對錢包用戶體驗和安全性進行根本性的重新思考：完整地址必須默認可見，任何粘貼或選擇的地址都應以清晰的高亮對差異進行視覺差異比較，錢包應在目標是新地址或與先前使用的地址相似時警告用戶，保存的聯繫人應受到保護，以防止靜默修改或替換。像 ENS 這樣的可讀名稱系統可以提供幫助，但僅在通過可信渠道驗證名稱且解析的地址在名稱旁邊清楚顯示，而不是隱藏在後面。直到這些保護措施得到廣泛實施，用戶、DAO 和財務經理必須採用嚴格的操作紀律，包括對每個新收件人至少手動驗證整個地址一次，通過安全的、帶外的通信渠道確認轉帳，爲高價值轉帳執行測試交易，以及爲財務或組織錢包強制執行多人批準政策。除了這些直接步驟外，這一事件還強調了對以太坊生態系統和加密貨幣的更廣泛教訓：優先考慮便利性而非安全性的用戶體驗決策可能會產生可預測的攻擊向量，而現在的風險已經足夠高，以至於曾被認爲可接受的設計選擇現在變得積極危險。這不是邊緣案例，也不僅僅是“用戶錯誤”的問題；這是設計模式未能考慮到聰明且有動機的攻擊者的可預見後果。教訓是明確而清晰的：如果沒有驗證完整地址，交易就從未真正被驗證，生態系統必須將地址顯示和驗證視爲關鍵的安全表面，而非外觀上的用戶界面元素。直到錢包、命名系統與操作實踐與這一現實保持一致，利用類似地址的釣魚攻擊將仍然是加密中最有效和毀滅性盜竊形式之一，而高價值用戶和組織必須負責當前錢包未能強制執行的做法。