在以太坊鏈上投資者可以將比特幣(BTC) 換成WBTC 以便在不同的跨鏈結橋上流轉，日前就有投資者在以太坊區塊鏈上被黑客釣魚1155 個WBTC，目前價值超過7000萬美元或人民幣5.066 億元。這次駭客發起釣魚的方式非常特別，可以說是幣圈領域的大力出奇蹟。

以太坊錢包地址非常長，有些用戶在執行轉帳的時候會習慣性到區塊瀏覽器裡複製自己最後一次交易記錄中的地址，只核對前幾位和後幾位，如果匹配的話那就轉賬。

駭客透過產生大量以太坊錢包地址最終成功產生了與用戶真實錢包類似的地址：

用戶真實錢包位址：0xd9A1b0B1…cB2853a91

駭客產生的位址是：0xd9A1C378…244853a91

因此如果只檢查錢包地址前四位(不含0x) 和後六位的話，黑客生成的釣魚地址看起來幾乎和真實錢包地址一致，這名倒霉的投資者就不幸遇到了這種釣魚騙局，在在沒有仔細檢查真實錢包位址的情況下，將1155 個WBTC 轉入了駭客的錢包位址。

此案例中駭客使用的是精細化策略，即暴力生成巨量地址的情況下挑選與真實錢包地址首位類似的地址，至少有部分投資者確實沒有仔細核對地址以及直接透過區塊瀏覽器複製地址，於是駭客成功得手。

這種攻擊的另一種不是特別精細的方式是，向一些錢包餘額較多的帳戶，大量轉入少量的以太坊來污染轉賬歷史記錄，賭的就是有投資者不看地址直接複製地址進行轉賬。

這種方式不存在首位類似的地址因此得手率相對來說也比較低，而生成首位類似的地址顯然釣魚成功率會高得多，因此這也告誡我們在執行轉賬操作時最好核對更長的字串，理論上說字串越長碰撞成功的機率也就越低，如果你有耐心的話最好檢查每一個位址的所有字串看看是否匹配。

另一種方式就是配置自己的錢包白名單，即首次使用新地址時直接在受支援的錢包裡將這個地址設置為白名單，後續只能向白名單轉賬，如果是默認地址的話則需要重新核對、多重身份驗證，這也可以大幅提高安全性、也可以避免直接從區塊鏈上複製地址來轉帳。

目前這筆1155.28802767 個WBTC 已經被黑客轉移到了新地址，然後接著被分散轉移到了多個地址、子地址，最終在Uniswap 上通過WBTC-USDT 進行了多次轉換，目的是混淆並讓這筆贓物難以追踪。

最搞笑的莫過於還出現了賽博乞討，現在有部分用戶向這個釣魚地址轉入極少的以太坊並添加備註，希望這名成功釣魚的黑客能夠分點給他們…