電子錢包MetaMask警告用戶網址下毒新興詐騙手法

知名電子錢包MetaMask App開發商本周提醒用戶一種名為網址下毒（address poisoning）的新興詐騙手法，呼籲小心被清空錢包帳戶。

MetaMask說明，網址下毒是利用電子錢包網址以16進制位元組成、複雜難記的特點，以及一般人使用copy and paste直接取用交易記錄的習慣達成的攻擊手法。當使用者從自己的電子錢包傳送一筆交易給友人，攻擊者可以監看特定幣別（如穩定幣）交易，再利用網路上隨手而得的vanity網址產生器，產製一個近似用戶（或用戶友人）的電子錢包網址。這個通常是頭、尾數個字元和用戶錢包網址相同。

之後攻擊者從這個新成立的帳號傳送極少錢，或0元交易到使用者電子錢包，這個帳號的網址也會留存在用戶交易記錄中。由於MetaMask在交易記錄使用短網址，用戶只看得到頭、尾幾個字元。從短網址上看，和真實錢包網址一模一樣，此時已經被下毒。

下次用戶交易時，極可能copy and paste從交易記錄複製到攻擊者持有的電子錢包，而將資產（加密貨幣）轉給攻擊者，因為一般人可能只會注意頭尾幾個字元。基於區塊鏈上的交易不可逆，轉出去的這筆錢也拿不回來。

MetaMask建議，用戶應小心檢查交易的電子錢包，最好檢查每個字元，或使用硬體電子錢包，因為此類電子錢包會要求使用者檢查並確認網址。另一個方法是將常用的電子錢包網址加入聯絡人資料，以減少複製到惡意錢包的風險。最後，MetaMask建議先進行一次小額交易測試，確認安全後再進行大筆交易。當然，缺點是用戶必須支付2次gas fee手續費。

一名用戶則建議在電子錢包網址中使用ENS網域（.eth），它具有人類可辨識性（如bob.eth, Alice.eth），因此用戶無需檢查所有位元，使詐騙電子錢包無所遁形。