#EthereumWarnsonAddressPoisoning
$50M USDT 针对类似以太坊地址的钓鱼事件暴露了加密安全中的一个系统性问题,这不仅仅是用户错误:在对抗环境中,截断的钱包地址本质上是不安全的,而生态系统已经依赖这种危险的做法太久了。大多数钱包仅显示地址的前几个和后几个字符,这在某种程度上隐性地训练用户假设仅验证可见部分就足够了。攻击者利用这种可预测性,通过生成具有相同前缀和后缀但仅在隐藏的中间部分不同的地址来进行攻击,这个任务在计算上是便宜且在规模上完全可行。一旦这样的类似地址被引入到工作流中——无论是通过被侵入的信息、钓鱼链接、复制的交易历史,还是恶意修改的联系人列表——钱包用户界面通常不会向用户提供任何有意义的信号,表明目标是不正确的,而一次点击可以不可逆转地转移数百万美元。这造成了一个危险的认知陷阱:用户被期望验证他们无法合理检查的长十六进制字符串,而界面则主动鼓励攻击者能够利用的捷径。大多数人并不是因为疏忽而不验证完整地址,而是因为工具本身规范了部分验证,优化了便利性、极简主义或可读性,而非在敌对环境中的安全性。防止这些事件的发生需要对钱包用户体验和安全性进行根本性的重新思考:完整地址必须默认可见,任何粘贴或选择的地址都应以清晰的高亮对差异进行视觉差异比较,钱包应在目标是新地址或与先前使用的地址相似时警告用户,保存的联系人应受到保护,以防止静默修改或
查看原文$50M USDT 针对类似以太坊地址的钓鱼事件暴露了加密安全中的一个系统性问题,这不仅仅是用户错误:在对抗环境中,截断的钱包地址本质上是不安全的,而生态系统已经依赖这种危险的做法太久了。大多数钱包仅显示地址的前几个和后几个字符,这在某种程度上隐性地训练用户假设仅验证可见部分就足够了。攻击者利用这种可预测性,通过生成具有相同前缀和后缀但仅在隐藏的中间部分不同的地址来进行攻击,这个任务在计算上是便宜且在规模上完全可行。一旦这样的类似地址被引入到工作流中——无论是通过被侵入的信息、钓鱼链接、复制的交易历史,还是恶意修改的联系人列表——钱包用户界面通常不会向用户提供任何有意义的信号,表明目标是不正确的,而一次点击可以不可逆转地转移数百万美元。这造成了一个危险的认知陷阱:用户被期望验证他们无法合理检查的长十六进制字符串,而界面则主动鼓励攻击者能够利用的捷径。大多数人并不是因为疏忽而不验证完整地址,而是因为工具本身规范了部分验证,优化了便利性、极简主义或可读性,而非在敌对环境中的安全性。防止这些事件的发生需要对钱包用户体验和安全性进行根本性的重新思考:完整地址必须默认可见,任何粘贴或选择的地址都应以清晰的高亮对差异进行视觉差异比较,钱包应在目标是新地址或与先前使用的地址相似时警告用户,保存的联系人应受到保护,以防止静默修改或
:
