#EthereumWarnsonAddressPoisoning
$50M USDT 針對類似以太坊地址的釣魚事件暴露了加密安全中的一個系統性問題,這不僅僅是用戶錯誤:在對抗環境中,截斷的錢包地址本質上是不安全的,而生態系統已經依賴這種危險的做法太久了。大多數錢包僅顯示地址的前幾個和後幾個字符,這在某種程度上隱性地訓練用戶假設僅驗證可見部分就足夠了。攻擊者利用這種可預測性,通過生成具有相同前綴和後綴但僅在隱藏的中間部分不同的地址來進行攻擊,這個任務在計算上是便宜且在規模上完全可行。一旦這樣的類似地址被引入到工作流中——無論是通過被侵入的信息、釣魚連結、復制的交易歷史,還是惡意修改的聯繫人列表——錢包用戶界面通常不會向用戶提供任何有意義的信號,表明目標是不正確的,而一次點擊可以不可逆轉地轉移數百萬美元。這造成了一個危險的認知陷阱:用戶被期望驗證他們無法合理檢查的長十六進制字符串,而界面則主動鼓勵攻擊者能夠利用的捷徑。大多數人並不是因爲疏忽而不驗證完整地址,而是因爲工具本身規範了部分驗證,優化了便利性、極簡主義或可讀性,而非在敵對環境中的安全性。防止這些事件的發生需要對錢包用戶體驗和安全性進行根本性的重新思考:完整地址必須默認可見,任何粘貼或選擇的地址都應以清晰的高亮對差異進行視覺差異比較,錢包應在目標是新地址或與先前使用的地址相似時警告用戶,保存的聯繫人應受到保護,以防止靜默修改或
查看原文$50M USDT 針對類似以太坊地址的釣魚事件暴露了加密安全中的一個系統性問題,這不僅僅是用戶錯誤:在對抗環境中,截斷的錢包地址本質上是不安全的,而生態系統已經依賴這種危險的做法太久了。大多數錢包僅顯示地址的前幾個和後幾個字符,這在某種程度上隱性地訓練用戶假設僅驗證可見部分就足夠了。攻擊者利用這種可預測性,通過生成具有相同前綴和後綴但僅在隱藏的中間部分不同的地址來進行攻擊,這個任務在計算上是便宜且在規模上完全可行。一旦這樣的類似地址被引入到工作流中——無論是通過被侵入的信息、釣魚連結、復制的交易歷史,還是惡意修改的聯繫人列表——錢包用戶界面通常不會向用戶提供任何有意義的信號,表明目標是不正確的,而一次點擊可以不可逆轉地轉移數百萬美元。這造成了一個危險的認知陷阱:用戶被期望驗證他們無法合理檢查的長十六進制字符串,而界面則主動鼓勵攻擊者能夠利用的捷徑。大多數人並不是因爲疏忽而不驗證完整地址,而是因爲工具本身規範了部分驗證,優化了便利性、極簡主義或可讀性,而非在敵對環境中的安全性。防止這些事件的發生需要對錢包用戶體驗和安全性進行根本性的重新思考:完整地址必須默認可見,任何粘貼或選擇的地址都應以清晰的高亮對差異進行視覺差異比較,錢包應在目標是新地址或與先前使用的地址相似時警告用戶,保存的聯繫人應受到保護,以防止靜默修改或
:
