粉塵攻擊

從創紀錄的高點到慘烈的暴跌，加密貨幣在本月開局的表現可謂精彩紛呈。無論加密市場接下來是繼續繁榮還是再次回落，現在都是提醒讀者一些關於加密資產自我託管基本安全操作（OPSEC）的好時機。

對許多人來說，把加密資產存放在 Coinbase、Binance 或其他中心化平台上就已經足夠安全。若屬於這一類用戶，接下來的內容對你來說可能沒有太大實際意義。但如果你選擇自行託管資產，那麼以下內容將會是重要的安全性提醒。

掌控自己的資產確實有諸多優勢，但也意味著要承擔更高的責任。除了理解網路壅塞、私下儲存的麻煩、以及使用 swap 與 bridge 的操作之外，自我託管還面臨另一個潛在風險－所謂的「粉塵攻擊」。

那些在加密領域打拼已久的用戶，可能曾注意到錢包裡突然多出一些莫名其妙的代幣，要么名字奇特，要么與某些主流幣種的名字非常相似。這些代幣通常數量極少、幾乎一文不值，因此被稱為「粉塵」。

那麼，它們是怎麼出現的呢？真是奇怪。

粉塵攻擊其實是新的電子郵件「垃圾訊息」，兩者有許多相似之處。首先，和垃圾郵件一樣，大多數灰塵攻擊靠數量取勝。

它們執行成本極低，攻擊者幾乎沒有損失。他們會撒下一張大網，試圖誘捕盡可能多的目標。即便 99.99% 的人毫髮無傷，只要 0.01% 上鉤，這場攻擊就值回票價。

灰塵攻擊大致可分為三個類別：錢包去匿名化、網路釣魚詐騙、地址污染。

1. 1. 錢包去匿名化

這種攻擊只對比特幣、Cardano、Dogecoin 以及其他基於 UTXO（未花費交易輸出）的區塊鏈有效。 UTXO 鏈與以太坊等基於帳戶的鏈不同，交易可以把來自不同來源的輸入合併在一起，作為一次操作處理。這意味著用戶可以把多個不同地址的小額餘額「一併打包」到一個新錢包中。這正是塵埃攻擊的危險所在：如果使用者不小心把來自被「撒塵」的地址的餘額與自己控制的另一個地址的餘額合併使用，就等於證明了他們同時擁有這兩個地址，從而把這些地址關聯起來，可能導致去匿名化。在極端情況下，地址可能被關聯到某人的現實身份，進而面臨脅迫、勒索甚至更嚴重的後果。即便擁有再強的加密安全，一旦面對持刀的歹徒也可能毫無用處。

1. 2. 網路釣魚詐騙

塵埃攻擊的大多數做法已經從上述方式轉向更激進的策略。第二種攻擊方式針對以太坊、Solana 及其他智能合約鏈。與透過關聯地址尋找模式不同，這類攻擊目標更直接，旨在誘導用戶與惡意智能合約互動，從而掏空用戶錢包。其典型製程通常如下：

• 1. 攻擊者空投一個看起來像正規項目或收藏品的垃圾代幣或 NFT
• 2. 可能數月過去，用戶才注意到錢包裡出現了陌生代幣
• 3. 最終用戶發現該代幣並出於好奇開始調查
• 4. 快速搜尋後，使用者被引導到一個聽起來很酷、有新 DEX 的專案網站
• 5. 在網站上，用戶看到可以出售或兌換所空投的代幣
• 6. DEX 會提示使用者的錢包授權或簽署以發起交易
• 7. 一旦簽名，攻擊者就獲得了轉移和花費該錢包中「其他」代幣的權限
• 8. 用戶的錢包因此被攻破，資金可能會轉走

攻擊向量集中在誘導用戶授予遠超簡單交易所需權限這一點。上文所述僅為一例，但有些塵埃攻擊並不涉及其他網站或去中心化交易所（DEX），而是完全在使用者錢包內部展開。如果攻擊者真懂行，他們甚至可能設計出極其狡猾的合約，利用一些更晦澀的智能合約功能來發動攻擊。

在以太坊網路上，一個普通的 ERC-20 代幣（自身無特殊權限）通常只影響該代幣的轉移與持有。然而即便如此，我們仍建議保持謹慎，尤其當相關合約未經充分審計時。真正的危險在於其他代幣標準，例如 ERC-777 和 ERC-1363。這類代幣具備更高級的能力；因此在獲得相應權限後，它們可能會造成更大的破壞。可以說，攻擊者的武器庫更豐富了。

根據所涉智能合約的複雜性，僅嘗試在用戶自己的錢包中出售或兌換該代幣就可能出現問題。使用者可能需要先對代幣進行授權交易，而在授權過程中無意中給了惡意智能合約其他無關的權限。即使是技術用戶也可能中招，因為有時可以偽裝操作的真實目的。合約表面上看起來像是在執行某個平凡的任務，實際上可能在後台做完全不同的事。錢包介面（UI）和去中心化應用程式（dApp）很容易被利用來隱藏惡意智能合約的真正意圖，後果可能非常嚴重。即便使用硬體錢包的用戶，如果在未仔細檢查所需權限的情況下批准交易，也可能被攻破。

與其詳盡列舉惡意智能合約中可能出現的每一個危險函數，我們更簡單直接地給出建議：不要與這些合約互動。儘管主題複雜且技術性強，但答案極為明確：

不要動你錢包裡的「塵埃」。不要觸碰任何你不認識的代幣。無論在何種情況下都不要與它們互動。不要試圖銷毀它們，也不要試圖把它們發送到銷毀地址（burn address）。那是一個陷阱。離開它們，別理會。

1. 3. 地址污染

地址投毒與上述攻擊大不相同。首先，這類攻擊既能在 UTXO 鏈上發生，也能在帳戶模型鏈上發生；其次，地址投毒針對的是單一、具體的錢包。投毒騙局通常涉及真實且合法的加密貨幣，實施成功需要一定技巧。攻擊流程如下：

• 1. 攻擊者鎖定一個高淨值目標（大戶）
• 2. 該大戶需要在不同錢包間頻繁轉移資產
• 3. 攻擊者創造與大戶位址相似的新錢包位址
• 4. 攻擊者從新錢包向大戶發送少量「塵埃」資金
• 5. 大戶誤將攻擊者的錢包當成自己的地址，從而向錯誤地址發起了轉賬

例如，這位「大戶」可能經常將代幣發送到以下地址：

0x32Be343B94f860124dC4fEe278FDCBD38C102D88

由於區塊鏈技術的特性，攻擊者可以利用專門的工具產生一個在開頭和結尾字元上與目標位址相似的位址，例如：

0x32Be3477e6c13b6A6B25aBcAA29B393777102D88

而人們在核對地址時，往往就是這樣做的：檢查開頭。檢查結尾。看起來沒問題。發送。等等……哦，糟糕。大戶被攻擊了。

一個有趣的案例發生在 2024 年 5 月，完全按照上述過程展開。受害的大戶誤將價值 6800 萬美元的包裝比特幣發送到了錯誤的地址。接下來的幾天裡，這位大戶透過多筆小額交易附帶訊息，試圖與詐騙者談判。第一則訊息寫道：「你贏了兄弟。留 10% 給自己，把 90% 還回來。然後我們就此揭過。我們都知道 700 萬美元能讓你生活更好，但 7000 萬會讓你睡不著。」

緊接著又發了一條：「我們都知道這筆資金沒法清洗乾淨，你會被追蹤到的。我們也都明白，『睡不著』這句話並不是評價你的道德品質。」

地址投毒攻擊通常專門針對高淨值的加密貨幣持有者，但無論錢包大小，結論都是一樣的：一定要仔細核對地址。

在涉及加密貨幣的事務中，結論幾乎總是相同的。加密貨幣自誕生以來的核心概念，就是提供人們一種不受他人控制的貨幣形式。而這種理念的直接結果是──使用者必須對自己的資產負全部責任。有些人能承擔這種責任；有些人不能。而那些願意承擔的人，面對的將是一條更艱難但也更自由的路。