在 Web3 世界里,很多人对安全的第一反应,是保护好私钥、助记词和授权权限。
这些当然重要,但在实际使用过程中,还有一类风险并不来自私钥泄露,也不依赖合约漏洞,而是发生在一次再普通不过的操作里:复制地址。
地址投毒,正是利用了这一点。它不是通过破解系统获利,而是通过伪装、干扰和诱导,让用户在看似正常的转账流程中,把资产转给错误的地址。
这类攻击之所以棘手,不在于技术门槛有多高,而在于它精准利用了用户在日常操作中的视觉习惯和路径依赖。
什么是地址投毒?
所谓地址投毒,是指攻击者生成一个与用户常用地址在视觉上高度相似的伪装地址,再通过 0 金额或极小额交易,把这个地址混入用户的历史记录中。
当用户下一次需要转账时,如果是从历史交易中「顺手复制」地址,而没有逐位核对完整字符,就可能误把资产转给攻击者准备好的伪装地址。
这类攻击并不罕见。过去两年里,链上已经出现多起公开案例,证明地址投毒不仅会造成实际损失,甚至连「小额测试后再正式转账」这样的习惯动作,也未必足以避免风险。
更为严峻的是,由于 Fusaka 升级大幅降低 Gas 费,间接导致地址投毒攻击的边际成本显著下移。据 Blockaid 统计,2026 年 1 月链上投毒尝试量达 340 万次,较去年 11 月(62.8 万次)增长了 5.5 倍,投毒频率呈现爆发式增长。
为什么地址投毒容易让人中招?
从原理上看,地址投毒并不复杂;真正让它难防的,是它击中了用户操作中的几个天然弱点。
1. 地址本身不适合人工核对
一串链上地址通常由 42 位字符组成。对大多数用户来说,逐位核对完整地址并不是一个现实、稳定、可持续的操作方式。很多时候,人们只会看前几位和后几位,确认「像是那个地址」就继续下一步。而攻击者正是围绕这种习惯来设计伪装。
2. 恶意交易会混进正常交易噪音里
地址投毒交易往往以极低金额甚至 0 金额出现,形式上和普通链上转账没有本质区别。当它混入真实账单记录后,用户很难仅凭肉眼从一长串历史记录中快速分辨哪些是正常往来,哪些是刻意投放的干扰项。
3. 传统提醒常常出现在太晚的时点
很多安全提醒发生在「确认转账」之前。但对于地址投毒来说,真正关键的风险节点,通常更早——是在用户决定从历史记录中复制地址的那一刻。
如果风险识别和提醒只出现在最后一步,那么前面的误操作路径其实已经形成。
面对地址投毒,钱包需要做的不只是「提醒」
这类风险的特殊之处在于,它并不是单靠用户多看一眼、再谨慎一点就能彻底解决。
钱包作为用户与链上交互的入口,应该承担更多前置判断与主动防护的工作,把风险尽量拦在更早的触点上,而不是把全部压力都留给用户自己。
在 imToken 2.19.0 中,我们针对地址投毒相关风险,对安全风控能力做了进一步升级。整体思路不是增加单一提示,而是在用户实际操作链路中,把识别、过滤、提醒和校验前置到更合适的位置。
围绕地址投毒的三层防护
1. 隐藏高风险交易,减少账单污染
针对恶意地址通过小额或 0 金额交易污染账单记录的情况,新版本默认开启了「隐藏风险交易」能力。
当系统识别到高风险投毒交易后,会优先在交易记录和相关通知中进行过滤,尽量减少这类干扰信息直接进入用户视野。
这样做的目的,不只是让界面更清爽,更重要的是从源头降低用户误从历史记录中复制到风险地址的概率。
2. 把提醒前置到复制动作发生时
地址投毒最关键的突破口,不是转账按钮本身,而是复制地址这一步。
因此,在用户从交易详情页执行复制操作时,系统会增加更明确的交互提醒,引导用户对地址进行更完整的核对,而不是只依赖首尾字符进行判断。
相比只在转账前做提示,这种方式更接近真实风险发生的节点,也更有助于打断“顺手复制”的惯性路径。
3. 在关键链路中持续标记风险
除了记录列表和复制场景之外,系统也会在交易详情、转账前校验等关键触点,对疑似风险地址给出明显标识和相应提醒。
这样做并不是为了增加打扰,而是希望在用户真正做出下一步操作前,给出更及时、更一致的风险反馈。
技术解读:为什么地址投毒需要「动态感知」的风控能力
地址投毒并不是利用链上协议漏洞,而是利用用户的操作习惯与视觉惯性。攻击者通过制造与真实地址高度相似的伪装地址,再借助小额或 0 值交易将其混入历史记录,诱导用户在后续操作中误复制、误转账。
它之所以难治理,一个重要原因在于:从链上执行结果看,这类交易往往是「正常」的。没有明显的协议异常,也没有传统意义上的攻击签名,因此单纯依赖静态黑名单或事后提醒,往往不足以覆盖真实风险。
imToken 对这类风险的应对,不是简单给地址贴上永久性的「好」或「坏」标签,而是在用户刷新交易记录、查看详情、复制地址或发起转账等关键触点,结合实时链上数据和当前交互上下文,对可疑交易进行动态识别,并驱动客户端执行过滤、标记、强提醒或前置校验等动作。
风险识别不是只看「像不像」
投毒识别的关键,不只是字符串是否相似,而是在复杂噪音环境中如何组合多类证据进行判断。当前的识别逻辑,主要会综合考虑以下几类信号:
相似性证据
攻击要成立,伪装地址首先需要在视觉上「足够像」。系统会对地址伪装的结构特征进行量化,用于识别这类高相似风险。
成本形态证据
地址投毒为了低成本扩散,往往会表现出特定的金额分布和交易形态。金额信号本身不是决定性依据,但可以与其他证据共同使用,减少单因子带来的误判。
行为时序证据
一些投毒交易会紧随用户真实转账行为出现,试图借助用户刚完成操作后的惯性,把伪装地址迅速塞进交易记录中。系统会在特定时间窗口与上下文条件下,对这类行为进行综合判断。
为什么要做统一风险决策?
单一信号往往不足以支撑高可信的风险判断。因此,系统会将多类证据综合评估,输出统一的风险结果,再映射到不同触点上的处理策略。
这样的设计主要带来三点收益:
- 减少误报噪音:弱信号不会单独触发高等级处置。
- 保证体验一致:同一笔交易在不同页面获得一致的风险判断。
- 支持复盘优化:每次命中都可以回溯判断依据,便于持续迭代。
对非托管钱包来说,这类风控能力尤其具有挑战性。
因为地址投毒利用的是用户行为路径,而不是明显的链上异常;攻击方式又会随着链、资产、节奏和伪装方式持续变化。在缺少中心化控制点的前提下,防护效果更依赖识别质量、产品触点设计和策略迭代能力之间的协同。
因此,imToken 将这类能力建设为一套可持续演进的安全工程体系,支持策略更新、版本化管理,以及效果观测与复盘,让防护能力能够持续跟上攻击方式的变化。
如何升级防护能力
如果你已经在使用 imToken,建议尽快升级至 2.19.0。
针对地址投毒相关风险,新版本已默认开启相应防护能力,无需额外设置,即可获得更前置的风险识别与提醒体验。
写在最后
地址投毒提醒我们,Web3 安全并不只发生在「最危险」的时刻,也可能藏在最日常、最熟悉的操作里。
当风险开始利用人的习惯,安全能力也需要从「结果提醒」进一步走向「过程防护」。对钱包来说,更重要的不只是把交易执行出去,而是在关键节点帮助用户减少误判、降低误操作风险。
这也是 imToken 持续升级安全风控能力的原因:让用户在保持自我掌控的同时,获得更及时、更实际的安全保护。
