广场
最新
热门
资讯
我的主页
发布
Eagle Eye
2025-12-24 01:24:08
关注
#EthereumWarnsonAddressPoisoning
$50M USDT 针对类似以太坊地址的钓鱼事件暴露了加密安全中的一个系统性问题,这不仅仅是用户错误:在对抗环境中,截断的钱包地址本质上是不安全的,而生态系统已经依赖这种危险的做法太久了。大多数钱包仅显示地址的前几个和后几个字符,这在某种程度上隐性地训练用户假设仅验证可见部分就足够了。攻击者利用这种可预测性,通过生成具有相同前缀和后缀但仅在隐藏的中间部分不同的地址来进行攻击,这个任务在计算上是便宜且在规模上完全可行。一旦这样的类似地址被引入到工作流中——无论是通过被侵入的信息、钓鱼链接、复制的交易历史,还是恶意修改的联系人列表——钱包用户界面通常不会向用户提供任何有意义的信号,表明目标是不正确的,而一次点击可以不可逆转地转移数百万美元。这造成了一个危险的认知陷阱:用户被期望验证他们无法合理检查的长十六进制字符串,而界面则主动鼓励攻击者能够利用的捷径。大多数人并不是因为疏忽而不验证完整地址,而是因为工具本身规范了部分验证,优化了便利性、极简主义或可读性,而非在敌对环境中的安全性。防止这些事件的发生需要对钱包用户体验和安全性进行根本性的重新思考:完整地址必须默认可见,任何粘贴或选择的地址都应以清晰的高亮对差异进行视觉差异比较,钱包应在目标是新地址或与先前使用的地址相似时警告用户,保存的联系人应受到保护,以防止静默修改或替换。像 ENS 这样的可读名称系统可以提供帮助,但仅在通过可信渠道验证名称且解析的地址在名称旁边清楚显示,而不是隐藏在后面。直到这些保护措施得到广泛实施,用户、DAO 和财务经理必须采用严格的操作纪律,包括对每个新收件人至少手动验证整个地址一次,通过安全的、带外的通信渠道确认转账,为高价值转账执行测试交易,以及为财务或组织钱包强制执行多人批准政策。除了这些直接步骤外,这一事件还强调了对以太坊生态系统和加密货币的更广泛教训:优先考虑便利性而非安全性的用户体验决策可能会产生可预测的攻击向量,而现在的风险已经足够高,以至于曾被认为可接受的设计选择现在变得积极危险。这不是边缘案例,也不仅仅是“用户错误”的问题;这是设计模式未能考虑到聪明且有动机的攻击者的可预见后果。教训是明确而清晰的:如果没有验证完整地址,交易就从未真正被验证,生态系统必须将地址显示和验证视为关键的安全表面,而非外观上的用户界面元素。直到钱包、命名系统与操作实践与这一现实保持一致,利用类似地址的钓鱼攻击将仍然是加密中最有效和毁灭性盗窃形式之一,而高价值用户和组织必须负责当前钱包未能强制执行的做法。
ETH
-0.3%
ENS
-0.26%
查看原文
此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见
声明
。
12人点赞了这条动态
赞赏
12
8
转发
分享
评论
0/400
评论
Deranc
· 2025-12-24 19:32
好
查看原文
回复
0
Crypto_Buzz_with_Alex
· 2025-12-24 14:43
😎 “加密社区的活力无与伦比 🔥” 圣诞节
查看原文
回复
0
ybaser
· 2025-12-24 11:14
圣诞节登月!🌕
查看原文
回复
0
Yusfirah
· 2025-12-24 02:46
密切关注 🔍️
查看原文
回复
0
Yusfirah
· 2025-12-24 02:46
密切关注 🔍️
查看原文
回复
0
Yusfirah
· 2025-12-24 02:46
圣诞快乐 ⛄
查看原文
回复
0
热门话题
查看更多
#
国际油价突破100美元
10.99万 热度
#
比特币重回跌势
9747.02万 热度
#
哈梅内伊之子当选伊朗领袖
61.65万 热度
#
日本日经指数下跌5.4%
124.5万 热度
#
2月非农意外负增长
92.86万 热度
热门 Gate Fun
查看更多
Gate Fun
KOL
最新发币
即将上市
成功上市
1
BTCSHİTCOİN
BTCSHİTCOİN
市值:
$2410.34
持有人数:
1
0.00%
2
1000
BTC SHİTCOİN
市值:
$2400
持有人数:
1
0.00%
3
111111111111
AOT
市值:
$0.1
持有人数:
1
0.00%
4
BN
波妞
市值:
$2440.47
持有人数:
2
0.07%
5
NLC
nolimits
市值:
$0.1
持有人数:
1
0.00%
置顶
Gate 广场内容挖矿奖励继续升级!无论您是创作者还是用户,挖矿新人还是头部作者都能赢取好礼获得大奖。现在就进入广场探索吧!
创作者享受最高60%创作返佣
创作者奖励加码1500USDT:更多新人作者能瓜分奖池!
观众点击交易组件交易赢大礼!最高50GT等新春壕礼等你拿!
详情:https://www.gate.com/announcements/article/49802
网站地图
#EthereumWarnsonAddressPoisoning
$50M USDT 针对类似以太坊地址的钓鱼事件暴露了加密安全中的一个系统性问题,这不仅仅是用户错误:在对抗环境中,截断的钱包地址本质上是不安全的,而生态系统已经依赖这种危险的做法太久了。大多数钱包仅显示地址的前几个和后几个字符,这在某种程度上隐性地训练用户假设仅验证可见部分就足够了。攻击者利用这种可预测性,通过生成具有相同前缀和后缀但仅在隐藏的中间部分不同的地址来进行攻击,这个任务在计算上是便宜且在规模上完全可行。一旦这样的类似地址被引入到工作流中——无论是通过被侵入的信息、钓鱼链接、复制的交易历史,还是恶意修改的联系人列表——钱包用户界面通常不会向用户提供任何有意义的信号,表明目标是不正确的,而一次点击可以不可逆转地转移数百万美元。这造成了一个危险的认知陷阱:用户被期望验证他们无法合理检查的长十六进制字符串,而界面则主动鼓励攻击者能够利用的捷径。大多数人并不是因为疏忽而不验证完整地址,而是因为工具本身规范了部分验证,优化了便利性、极简主义或可读性,而非在敌对环境中的安全性。防止这些事件的发生需要对钱包用户体验和安全性进行根本性的重新思考:完整地址必须默认可见,任何粘贴或选择的地址都应以清晰的高亮对差异进行视觉差异比较,钱包应在目标是新地址或与先前使用的地址相似时警告用户,保存的联系人应受到保护,以防止静默修改或替换。像 ENS 这样的可读名称系统可以提供帮助,但仅在通过可信渠道验证名称且解析的地址在名称旁边清楚显示,而不是隐藏在后面。直到这些保护措施得到广泛实施,用户、DAO 和财务经理必须采用严格的操作纪律,包括对每个新收件人至少手动验证整个地址一次,通过安全的、带外的通信渠道确认转账,为高价值转账执行测试交易,以及为财务或组织钱包强制执行多人批准政策。除了这些直接步骤外,这一事件还强调了对以太坊生态系统和加密货币的更广泛教训:优先考虑便利性而非安全性的用户体验决策可能会产生可预测的攻击向量,而现在的风险已经足够高,以至于曾被认为可接受的设计选择现在变得积极危险。这不是边缘案例,也不仅仅是“用户错误”的问题;这是设计模式未能考虑到聪明且有动机的攻击者的可预见后果。教训是明确而清晰的:如果没有验证完整地址,交易就从未真正被验证,生态系统必须将地址显示和验证视为关键的安全表面,而非外观上的用户界面元素。直到钱包、命名系统与操作实践与这一现实保持一致,利用类似地址的钓鱼攻击将仍然是加密中最有效和毁灭性盗窃形式之一,而高价值用户和组织必须负责当前钱包未能强制执行的做法。