地址投毒骗局：运作方式及防范方法

想象一下你像往常一样发送加密货币。你打开钱包，查看交易记录，复制你用过十几次的地址，粘贴，然后点击发送。转账几秒钟就确认了。唯一的问题是，这笔钱已经落入一个陌生人手中，他花费了大量的计算资源创建了一个几乎和你一模一样的地址，而区块链也完全按照你的指示执行了操作。简而言之，这就是地址投毒：没有被盗的密钥，没有恶意软件，只是在你的交易记录中植入了一个伪造的地址。本指南将解释这种骗局的运作方式、三种常见形式、人们实际损失的金额，以及一些可以避免地址投毒骗局的习惯，防止你将资金发送到错误的地方。

地址投毒究竟是什么？

地址投毒是一种针对你的记忆和屏幕的网络钓鱼攻击，而非针对底层加密技术。你的私钥不会被触及。没有任何数据被窃取、解密或破解。这种骗局利用了人类一个懒惰的习惯：区块链地址是一长串难以辨认的字母和数字（例如 0x4a3f...c91d），几乎没有人会仔细阅读整个地址。我们通常只会查看前四个字符，再查看后四个字符，然后耸耸肩，继续做其他事。

那个耸肩的动作正是整个漏洞所在。生成一个包含这些可见字符的地址，并将其展示给一个已经信任它的人，你就有很大概率意外收到款项。残酷的是接下来发生的事情。链上转账是最终的，所以你无法联系银行，也无法撤销交易；一旦你确认，这笔钱就属于别人了。保险和退款——这些在传统金融中用来保护人们免受损失的安全网——在这里根本不存在。地址投毒并不会破坏区块链。它分散了你的注意力，然后让区块链执行你注意力忽略的操作。

加密货币中的地址投毒是如何运作的

虽然结果看似神奇，但其机制却十分普通。一次成功的地址投毒攻击分为三个步骤，任何研究过这条攻击链的人都可以重现该过程。

步骤 1：生成相似地址

首先，攻击者会选择一个目标，通常是资金频繁转移的地址，然后运行一个虚拟地址生成器。该软件会遍历所有候选密钥对，直到找到一个地址的开头和结尾字符与受害者经常转账的地址相同。匹配少量字符的成本很低，而这正是令人不安的地方：以太坊 Fusaka 升级降低手续费后，一项分析发现，攻击者仅花费约 5175 美元就完成了 300 万次“小额转账”。以这样的成本，恶意投毒攻击就像工厂流水线作业，而不是小偷小摸。

第二步：篡改你的交易记录

接下来，攻击者会将这个看起来很像的地址植入你的交易记录中，使其看起来像是你之前交易过的。他们可能会向你发送少量真实代币，或者触发一笔零金额转账，或者直接向你推送一个伪造的代币。无论采用何种方式，其目的都是一样的：让伪造的地址与真实地址一起出现在你的交易记录中，并且地址的首尾字符完全相同。

步骤三：复制粘贴陷阱

然后他们就等着。下次你准备向常用收款人付款时，为了方便，你直接从最近的交易记录中复制地址。可见字符匹配，一切看起来都没问题，于是你发送了出去。如果你下意识地这样做，很可能就会不小心把代币发送到那个看起来很像的地址，而不是你想要的地址。区块链会正确地执行转账，只是收款人错了。这就是为什么地址投毒有时被称为“复制粘贴陷阱”，以及为什么它对谨慎的、经验丰富的用户和新手都同样有效。它如此有效的原因在于时机——投毒条目通常会在真实交易发生后的几分钟内悄悄插入，因此虚假地址正好出现在你预期真实地址所在的位置。你并非粗心大意，而是追求效率，而效率正是攻击者所期待的。

地址中毒的三种类型

卡内基梅隆大学2025年的一项学术研究将现实世界中的网络攻击分为三种形式。它们的区别在于虚假地址的植入方式，这会影响你对历史记录的信任程度。

在这三种地址投毒攻击中，零值转账是最容易让人困惑的，因为它看起来像是来自您自己的地址。这是因为某些代币合约允许任何人在未经所有者许可的情况下发起零代币的“转账”事件，因此攻击者可以编写脚本，让您的钱包如实显示该条目。历史上，由于手续费较低，BNB 智能链遭受的攻击远多于以太坊，但 Fusaka 的手续费下调改变了这一局面，将大部分攻击活动转移到了以太坊上。

多少钱？中毒事件被盗

地址中毒听起来像是四舍五入的误差，但仔细计算一下就会发现并非如此。以下数据特意标注了日期，因为在加密货币领域，数据变化很快，去年的统计数据严重低估了问题的严重性。

其中有几个案例值得我们深思。一位比特币受害者在2024年5月险些损失约6800万美元，但最终还是追回了资金，因为攻击者（在洗钱和谈判后）归还了大部分赃款，自己则带着大约149万美元逍遥法外；调查人员后来发现，这次攻击活动与82031个伪造地址有关。几乎没有人能如此幸运。另一位受害者在2025年12月损失了4990万美元的USDT，这笔钱直接流入了Tornado Cash，既没有追回，也没有任何追索途径。

真正令人担忧的是这种趋势。在Fusaka升级降低以太坊手续费后，网络上的每月投毒攻击尝试次数激增五倍以上。2026年1月， 花旗银行指出，以太坊每日280万笔交易的记录主要由投毒垃圾邮件驱动，而非真正的经济用途。到2026年初，业内估计累计损失已达约5亿美元。令我不安的并非骗局的巧妙之处，而是其代价：几千美元的手续费就能购买数百万次的攻击尝试，而攻击者只需要其中一次成功即可。

IP地址投毒、欺骗和IP地址投毒

“投毒”一词涵盖了多种截然不同的攻击，因此有必要将它们区分开来。本文讨论的地址投毒，指的是一种加密货币诈骗，它会在你的交易历史记录中植入一个与你身份不符的地址。地址欺骗的范围更广，通常指的是伪造消息或交易的发送者身份，以冒充他人。而人们有时会误搜的“IP投毒”，指的是ARP或DNS缓存投毒等网络攻击，与加密货币钱包无关。同一个动词，却代表了三个毫不相干的领域。

如何防止地址中毒

几乎所有防范地址投毒攻击的方法都可以归结为一条规则：永远不要相信自己的交易记录，也永远不要直接从交易记录中复制地址。虚假地址之所以会出现在那里，正是因为你会去查看那里。养成一些遵循这个原则的习惯，攻击就基本失效了。

请核实完整地址，切勿只核对姓氏和名字。

检查整个字符串，或者至少检查中间以及两端的大部分内容。攻击者可以很容易地匹配开头和结尾的几个字符，但匹配中间的长串字符则困难得多。大多数现代钱包都遵循 EIP-55 校验和标准，而且新的显示规范会突出显示地址的更多部分，因此更容易发现不匹配项。

使用通讯录，切勿从历史记录中复制地址。

在您从可信来源验证收款人地址后，只需保存一次即可。之后，请使用已保存的联系人地址进行转账，而不是从最近的交易中复制地址。像 MetaMask 这样的钱包称之为“联系人”；原理在所有钱包中都相同。已保存的联系人地址不会被新收到的转账所干扰，这正是关键所在。

测试交易、硬件屏幕和支付允许列表

对于大额交易，请先发送少量测试金额，确认收款地址无误后再发送剩余款项；这点手续费虽然不多，却能有效避免七位数金额的错误。硬件钱包在这方面也很有帮助，因为它们会在单独的屏幕上显示真实的收款地址，而电脑上的恶意软件无法悄悄篡改这些地址。频繁进行加密货币支付的企业尤其容易受到影响，因为他们每天都要复制粘贴地址，而且通常会将这项任务委托给可能从未听说过“投毒”的员工。因此，将支付地址锁定在预先批准的允许列表中（系统不会偏离的一组经过验证的固定地址），可以彻底消除人为错误的可能性。如果您通过支付网关接收加密货币付款，请务必检查该网关是否已经出于这个原因锁定了提现地址。

钱包和交易所正在做什么

虽然工具正在不断完善，但它们并不能取代上述习惯。像 Etherscan 这样的区块浏览器现在会隐藏或标记零价值转账，以免它们干扰您的交易历史记录。Ledger Live 和 Trezor Suite 会过滤可疑条目，而Trust Wallet 于 2026 年 3 月在 32 条区块链上推出了自动地址投毒保护。中心化交易所也存在类似的风险，因为用户会反复使用同一个充值地址，因此，在中心化交易所发生的投毒事件同样会造成损失。然而，这些措施并非万无一失——执着的攻击者仍然可以绕过尚未发现的过滤器，制造出新的相似地址——因此，这些工具只能为您提供一定的安全保障，而非绝对的免疫力。请将这些功能视为在您自身谨慎操作下的安全网，切勿将其视为替代方案。

谁会成为攻击目标，以及需要注意的事项

人们很容易认为只有粗心的新手才会上当受骗，但数据表明事实恰恰相反。损失最大的是那些活跃且经验丰富的汇款人和企业，他们经常转账，并且已经习惯了不加核实地快速粘贴地址。地址投毒的实施成本低廉，一旦成功，损失惨重，而且它完全建立在我们几乎所有人都有的习惯之上，这正是它作为一种骗局如此经久不衰的原因。提高防范意识才是真正的解决之道，因为一旦你意识到陷阱的存在，只需核实完整的地址就能化解它。真正的问题不在于你是否了解这种骗局，而在于你是否能在凌晨两点，在用手机向一个你之前已经付过上百次钱的人付款时，还能识破它。

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.