連王純都中招：5,000 萬美金的「學費」與地址投毒為何總是得逞

2025 年 12 月 20 日發生的這起近 5,000 萬美元 USDT 損失，再次引爆社群對一種最「低技術含量、卻高破壞力」的詐騙手法的關注：地址投毒（Address Poisoning）。根據鏈上監控者在 X（前身為推特）上的揭露，一名受害者複製了一組與真實收款地址非常相像的詐騙地址，誤將 49,999,950 USDT 發送給了攻擊者的錢包，而這一切僅在幾分鐘內就完成了。根據 Etherscan 公開資料顯示，該收款地址已被標記為釣魚地址。有分析指出，受害者在發生錯誤轉帳前，不久剛從 Binance 提領資金。而多家主流媒體的報導也證實了資金流向與地址相似所造成的陷阱。(etherscan.io)

這起 5,000 萬美元事件究竟發生了什麼？

• 受害者先測試性地向正確地址（以 …F8b5 結尾）轉了 50 USDT。
• 攻擊者迅速產出一組地址，讓開頭與結尾都與受害人的真實地址相似，並用一筆極小額度（Dust）的交易「投毒」至受害者的轉帳紀錄中。
• 幾分鐘後，受害人複製了這筆偽造的歷史地址，然後誤將 49,999,950 USDT 發送至該地址，最終資金全落入攻擊者手中。

多家鏈上分析與事件總結均指向這些相同步驟，以及這組具有混淆性的地址對照。(blockchain.news)

隨後，攻擊者開始轉移資金以規避凍結風險。他們先將 USDT 兌換成 DAI，再換成 ETH，最終透過 Tornado Cash 混幣處理，這種操作旨在阻礙資金追蹤與追回。(phemex.com)

你可以直接查閱鏈上資料：

• 受害者錢包：0xcB80784…0819
• 攻擊者錢包：0xBaFF2F…08f8b5
  (etherscan.io)

為什麼地址投毒屢屢得逞？

地址投毒並不是破壞區塊鏈的加密技術，而是巧妙利用了人類習慣與使用介面設計的漏洞：

• 很多錢包會自動省略地址的中間，只顯示開頭與結尾幾個字元。詐騙者便產出自定義的「靚號」（vanity address），讓開頭與結尾完全一致，然後用極小的轉帳「潛伏」在受害者的交易歷史中。下一次當受害者複製歷史紀錄時，很可能就是複製了這個偽造地址。請參考 MetaMask 官方說明。
• Ethereum 採用混合大小寫的 EIP‑55 校驗機制，雖能檢查打錯字卻無法防止這類由合法字元組成、極具迷惑性的地址。了解 EIP‑55 的原理，及其適用情境，更有助於防範風險。

「連老手都會踩坑」：王純的警世故事

F2Pool 聯合創辦人王純曾在 2024 年於 X 上表示，懷疑自己私鑰洩露，為驗證此事，他將 500 BTC 發送到該可疑地址，結果其中 490 BTC 被轉走，只剩 10 BTC 未動。他的披露強調，就算技術沒問題，操作上的小失誤也可能導致巨額損失。多家加密媒體整理了他的貼文與公開地址。(theblockbeats.info)

「為什麼不直接凍結 USDT？」

USDT 理論上可以由發行方介入凍結，但這並非即時生效，攻擊者也總是搶在凍結前完成操作。有研究指出，當前主流網路的黑名單機制存在作業上的時間差與程序性審核，讓攻擊者有足夠時間將資金轉成 DAI 或 ETH，甚至進入混幣工具進行清洗。這也是為何投毒攻擊者會優先轉換至無法凍結的資產。(cointelegraph.com)

2025 更大的背景：個人錢包安全正遭受衝擊

根據 Chainalysis 的年終報告，2025 年加密貨幣的整體竊盜損失將超過 34 億美元，其中個人錢包的遭駭案例大幅上升，即使 DeFi 協議本身較少遭到大規模攻擊。雖然幾起極端事件佔了總額大頭，但像地址投毒這類「用戶操作失誤」，累積起來的代價也越來越驚人。(chainalysis.com)

實戰操作指南：如何抵禦地址投毒

只要你要轉大額資金，請牢記這份防禦清單：

1. 驗證完整地址，不要偷懶只看首尾字元。MetaMask 直白地建議：「永遠不要從歷史紀錄複製地址」。(support.metamask.io)
2. 建立「地址通訊錄」或「白名單」。對於經常重複付款的地址，設定專屬名稱並穩定綁定。
3. 在硬體錢包上顯示並確認收款地址。這可防止惡意軟體、剪貼板劫持或歷史紀錄被替換。
4. 雙向驗證。若要轉大額資金，請要求對方用其地址簽署短訊息，或透過預先約定的安全通道（如 PGP、Signal）驗證。
5. 使用模擬與風險過濾工具。透過可靠平台預演交易流程、檢查收款地址與任何可疑授權。
6. 可以用 ENS 或其他易讀名稱減少誤操作，但簽名前仍須確認解析後的地址與通訊錄是否一致。
7. 若為團隊、機構操作，應建立多重審核流程，包括雙人確認、白名單控管及硬體錢包畫面截圖等標準流程。

若你是 OneKey 使用者

若你使用的是 OneKey 硬體錢包，強烈建議遵循以下操作習慣：

• 在 OneKey 設備上確認收款地址後再簽署交易。這可杜絕 App 最後一刻替換地址的可能性。
• 於 OneKey App 中建立白名單或聯絡人，用於重複付款對象。大額操作應搭配多重簽核政策。
• 請定期更新 OneKey 韌體與 App，OneKey 採用開源架構並內建驗證機制，確保執行的軟體為官方版本。

雖然這些作法無法讓你真正刀槍不入，但的確能大幅降低地址投毒成功的機率。

結語

地址投毒這種手法再次提醒我們，加密貨幣領域最大的風險，往往不是系統漏洞，而是「人為操作」。這起 5,000 萬 USDT 遺失事件告訴我們，只因一次從歷史紀錄的複製貼上，可能就抹煞多年心血。如果你有大額資金操作需求，請養成偏執般的安全思維：把地址當成銀行帳號來對待，每次都要「離線驗證」與「設備驗證」。

參考資料包括事件總結、鏈上數據分析、錢包安全建議以及 2025 年的加密趨勢分析，請參閱 Cointelegraph 報導、Etherscan 地址紀錄、MetaMask 防投毒說明、EIP-55 說明文件、Chainalysis 2025 年報告，以及王純在 BlockBeats 上的中文披露與整理。(cointelegraph.com)

若你目前仍未使用硬體錢包與嚴謹的操作流程，現在就是開始的最佳時機。對於 OneKey 使用者，請牢記「設備上確認地址」、使用信任聯絡人與多重驗證機制，這些看似簡單的習慣，正是化解地址投毒的關鍵武器。