連王純也中招：5,000 萬美元「學費」事件與地址投毒為何屢屢得逞

2025 年 12 月 20 日，一起近 5,000 萬美元的 USDT 損失事件，再次引爆加密圈對最「低技術、高殺傷力」騙局——地址投毒（Address Poisoning）的討論。有鏈上分析師在 X 上指出，受害者因複製了近期交易記錄中的一個山寨地址，將 49,999,950 USDT 發送至詐騙錢包。攻擊者在短短幾分鐘內完成部署與詐騙。根據 Etherscan 公開數據，該接收地址已被標記為釣魚地址，調查指出該用戶剛從 Binance 提取資金後便發生誤轉。主流媒體報導也證實了資金流向與地址相似性陷阱的情況。(etherscan.io)

這起 5,000 萬美元事件實際發生了什麼？

• 受害者先向正確的地址（結尾為 …F8b5）發送了一筆 50 USDT 的「測試轉帳」
• 詐騙者迅速生成一個開頭與結尾極為相似的 Vanity Address，並以小額轉帳方式「投毒」受害者的地址歷史
• 幾分鐘後，受害者從歷史記錄中複製了這個被投毒的地址，將 49,999,950 USDT 發送進去，最終進入攻擊者錢包

多方事件分析皆指出上述步驟正是發生過程，並已確認相關相似地址配對。(blockchain.news)

之後，攻擊者為防止資金被凍結，快速將穩定幣轉為 DAI，再換成 ETH，最後進入 Tornado Cash 隱私混幣協議，這種典型洗錢模式可以降低凍結風險並增加資金追回困難度。(phemex.com)

你可以直接跟蹤鏈上資金流向：受害者錢包 0xcB80784…0819 和攻擊者地址 0xBaFF2F…08f8b5。(etherscan.io)

地址投毒為何屢屢得逞？

地址投毒並未破解密碼學安全性，它利用的是人性與介面設計的弱點：

• 大多數錢包會自動縮短地址顯示，使使用者只驗證開頭與結尾幾位。攻擊者利用這點，生成前後相同的虛假地址，並以「灰塵交易」形式讓其出現在你的交易紀錄中。下一次你從歷史紀錄中複製時，就可能複製到錯的地址。參見 MetaMask 官方說明。(support.metamask.io)
• 以太坊地址的混合大小寫校驗碼（EIP-55）只能幫你檢查輸入錯誤，卻無法防止合法但相似的假地址。理解 EIP-55 的適用場景非常關鍵——校驗碼並不保證地址背後是正確的收款人。(eips.ethereum.org)

「即使是老手也會中招」：王純的警示故事

F2Pool 聯合創辦人王純在 X 上透露，他在 2024 年懷疑自己的私鑰洩露，並嘗試「測試」這一想法，結果向懷疑地址發送了 500 BTC，最終有 490 BTC 被盜，僅 10 BTC 留下。這個案例再次說明，加密貨幣領域裡巨額損失往往源於操作性錯誤，而非協議漏洞。多家媒體轉述了他的發文與相關地址。(theblockbeats.info)

「為什麼不直接凍結 USDT？」

USDT 理論上可以由發行方凍結，但凍結不是即時的，攻擊者往往會搶在這個時間差完成轉換操作。研究發現，在主流鏈上對黑名單地址的懲處存在程序延遲，給予攻擊者寶貴時間將 USDT 兌換成 DAI、ETH 或轉入混幣協議。因此，不少攻擊者會在收到 USDT 後迅速兌換，以規避凍結風險。(cointelegraph.com)

放諸 2025 的整體背景：個人錢包成高風險點

根據 Chainalysis 的年終分析，2025 年加密資產被盜總額已超過 34 億美元，其中個人錢包遭攻擊的增速最為驚人，儘管 DeFi 攻擊相對趨緩。一些大型事件主導了數據高點，但像地址投毒這類的個人操作失誤，總體損失正不斷累積、加劇風險。(chainalysis.com)

一套行之有效的地址投毒防禦手冊

轉出大額資金前，請務必做好以下「深度防禦」檢查：

1. 驗證完整地址（每一個字元），切勿只看開頭或結尾。無法一眼核對所有位元？那就先別發送。MetaMask 指出關鍵原則：轉帳時永遠不要從歷史紀錄中複製地址。(support.metamask.io)
2. 維護地址簿/允許清單。為常轉帳對象建立具標籤名稱的信任聯絡人，並盡可能鎖定提款至這些地址。
3. 使用硬體錢包進行地址確認。在裝置螢幕上確認地址，以防止剪貼簿木馬與歷史地址投毒在最後一刻更換接收人。
4. 雙向驗證（Out-of-band verification）。大額交易時，可要求對方使用其地址簽署一段訊息，或透過 PGP、Signal 等安全通道驗證。
5. 交易模擬與風險檢查。使用可靠工具模擬轉帳過程與審核目的地址，有助於在簽名前發現疑點或釣魚授權。
6. 使用 ENS 或其他可讀名稱，簡化重複交易對象的行為，但仍需在簽署當下確認地址解析結果與聯絡人匹配。
7. 團隊操作流程（適用於機構）。推行提現雙簽審批、允許清單制度，並要求附帶硬體錢包螢幕截圖以供審核。

OneKey 使用者注意事項

若你已在使用 OneKey，可依靠其裝置簽名流程：

• 在 OneKey 屏幕上確認收款地址再簽名。這種清簽機制（Clear-signing）可避免應用程式或投毒歷史偷偷更換地址
• 對於常用對象，可使用 OneKey App 中的聯絡人/允許清單功能。大額操作請配合多重簽名或多層審批策略
• 保持韌體與 App 最新版本。OneKey 的開源結構與遠端驗證機制能幫助你確保使用到的軟體版本是真實可信的

這並不能保證你「刀槍不入」，但能顯著提高地址投毒的攻擊難度。

最後的想法

地址投毒再次警示我們：加密世界最大風險常常不是技術漏洞，而是操作錯誤。本次 5,000 萬 USDT 慘案，只因一次不經意的複製貼上，而付出鉅額代價。若你的資金量大，請用最偏執的態度對待每一次轉帳：像銀行匯款一樣對待地址，離線驗證、裝置核查，絕不僥倖。

參考資料：事件總結與鏈上數據、安全操作建議與 2025 年宏觀趨勢，請參見 Cointelegraph 報導、Etherscan 地址追踪、MetaMask 防詐指南、EIP-55 技術說明、Chainalysis 的 2025 年終分析，以及王純披露事件的中語摘要報導來源：BlockBeats。(cointelegraph.com)

如果你還沒使用硬體錢包並建立嚴謹工作流，現在就是開始的最佳時機。對於 OneKey 使用者，記得「裝置上驗證」、保存受信聯絡人、對大額轉帳實施複核流程——這些簡單的習慣，正是瓦解地址投毒核心手法的最佳對策。