BNB、以太坊链上零U攻击肆虐DeFi 总损失突破437万美元

加密货币攻击者为窃取资金再出新招，近期有多个区块链上频繁出现零U转账现象，黑客企图通过构造首尾相同的地址来迷惑使用者，使粗心大意的使用者转错账，受影响范围以BNB链和以太坊最为严重。

据Dune Analytics数据显示，在过去两天内，以太坊上因零U投毒攻击，已损失了100万美元的使用者资金，截至目前为止损失已达375.6万美元；而在BNB链上损失则达61.8万美元，两条链上累计损失已超过437万美元。

以太坊上0U投毒攻击受害金额变化

一名粗心受害者损失40.8万DAI

分析师X-explore分享攻击案例显示，有受害用户于12月10日向他的币安账户地址存款后被投毒，接着在12月14日该名用户准备向他的币安账户地址转账时，因复制到错误的钓鱼地址，导致损失40.8万美元。

受害用户1案例

该名受害昨日也在推特上发文，证实自己受害，指出他经常收到黑客零U投毒，攻击者的地址前3位、后5位与他的钱包一模一样，导致他不小心把钓鱼地址当作充币地址，直接复制转账、损失惨重。

该如何防范攻击？

X-explore在本月初就撰文警告，ETH、BNB链上近期频繁出现零U转账现象，以BNB链为例，受害者A发送一笔正常交易、将452USD发给用户B后，用户B将立即收到黑客C转来的0USD，在同一笔交易hash内，使用者A自己也会不受控制地给黑客C转入0USD，实现一来一回的0USD转账操作。

0U攻击示例

X-explore提到，遇到这种情况的使用者不用紧张，资产是安全的，钱包私钥并没有泄漏，只需要仔细确认地址、小心别转错账就没事，黑客的攻击手法很简单：

在链上监控几个稳定币的转账信息，捕捉受害者地址A正常发送给使用者地址B的转账信息。

精心构建与使用者地址B首尾一致的黑客地址C，使受害者A与黑客地址C互相转账0U。(攻击者能够使用虚名地址生成工具Profanity，在几秒内生成与使用者地址前后7位相同的地址)。

受害者A下次转账时，若粗心直接复制历史交易的地址，很容易错误复制到黑客准备的地址C，进而转错账。

为了避免危害进一步扩大，X-explore建议，钱包App可通过颜色或其他提示，来帮助使用者区分地址，并做好使用者提醒；至于使用者本身，在转账前应仔细区分历史交易地址，逐字确认，最好自己存一份地址簿。