地址中毒攻击：50万美元USDT如何通过账户模型设计消失

盗窃的真实场景

12月初发生了一起通过链上欺诈造成的最大资金损失事件之一。 一名用户从Binance提取了5000万美元USDT，成为了精心策划的攻击的受害者。 这个活跃了两年的钱包，平时用于普通操作，但一件事改变了整个局势。

骗子事先通过address poisoning——一种将伪造地址加入用户交易历史的技术，发动了攻击，这些地址看起来与真实地址无异。受害者在复制之前转账的地址以重复使用时，误用了“中毒”地址，而非真实地址。几分钟后，5000万美元被转入了恶意方的账户。

为什么这次事件只发生在Ethereum及EVM链上

分析此事件，Cardano创始人查尔斯·霍斯金森指出了架构上的漏洞。在采用账户模型的区块链——如Ethereum及其他EVM链——中，地址作为交易历史中的永久接触点存在。钱包本质上鼓励用户复制之前的地址以方便操作，而这种习惯正是攻击的基础。

“这也是UTXO模型如此优秀的原因之一。比特币和Cardano没有受到影响，”霍斯金森在评论此事件时写道。

为什么要了解UTXO模型和区块链架构

基于UTXO模型的链——如Bitcoin和Cardano——运作方式不同。每笔交易生成新的输出，钱包通过明确选择UTXO进行操作，而不重复使用地址作为终点。不存在可以被“中毒”以进行恶意利用的持续账户状态。

对想要提升安全性的人来说，理解：UTXO设计原则上能有效防止此类攻击，因为其结构本身就具有防护作用。在Ethereum类链中，地址作为交易历史中的可见点，存在额外的攻击向量。

人为因素是根源

这并非协议漏洞或智能合约的漏洞。问题出在系统设计与人类行为的交互上。用户自然会试图简化操作，复制历史地址。账户模型的架构不仅允许这种行为，还主动促使其发生。结果是在不到一小时内，一次错误导致了5000万美元的损失。

目前，被盗资金仍然在恶意方账户中。此区块链架构的设计表明，即使是最先进的平台，也可能存在根植于其基础结构中的漏洞，而非开发者的错误所致。