当黑客瞄准你的「习惯」，如何从源头降低地址投毒风险？

在 Web3 世界里，很多人对安全的第一反应，是保护好私钥、助记词和授权权限。这些当然重要，但在实际使用过程中，还有一类风险并不来自私钥泄露，也不依赖合约漏洞，而是发生在一次再普通不过的操作里：复制地址。

地址投毒，正是利用了这一点。它不是通过破解系统获利，而是通过伪装、干扰和诱导，让用户在看似正常的转账流程中，把资产转给错误的地址。

这类攻击之所以棘手，不在于技术门槛有多高，而在于它精准利用了用户在日常操作中的视觉习惯和路径依赖。

什么是地址投毒？

所谓地址投毒，是指攻击者生成一个与用户常用地址在视觉上高度相似的伪装地址，再通过 0 金额或极小额交易，把这个地址混入用户的历史记录中。

当用户下一次需要转账时，如果是从历史交易中「顺手复制」地址，而没有逐位核对完整字符，就可能误把资产转给攻击者准备好的伪装地址。

这类攻击并不罕见。过去两年里，链上已经出现多起公开案例，证明地址投毒不仅会造成实际损失，甚至连「小额测试后再正式转账」这样的习惯动作，也未必足以避免风险。

更为严峻的是，由于 Fusaka 升级大幅降低 Gas 费，间接导致地址投毒攻击的边际成本显著下移。据 Blockaid 统计，2026 年 1 月链上投毒尝试量达 340 万次，较去年 11 月（62.8 万次）增长了 5.5 倍，投毒频率呈现爆发式增长。

为什么地址投毒容易让人中招？

从原理上看，地址投毒并不复杂；真正让它难防的，是它击中了用户操作中的几个天然弱点。

1. 地址本身不适合人工核对

一串链上地址通常由 42 位字符组成。对大多数用户来说，逐位核对完整地址并不是一个现实、稳定、可持续的操作方式。很多时候，人们只会看前几位和后几位，确认「像是那个地址」就继续下一步。而攻击者正是围绕这种习惯来设计伪装。

2. 恶意交易会混进正常交易噪音里

地址投毒交易往往以极低金额甚至 0 金额出现，形式上和普通链上转账没有本质区别。当它混入真实账单记录后，用户很难仅凭肉眼从一长串历史记录中快速分辨哪些是正常往来，哪些是刻意投放的干扰项。

3. 传统提醒常常出现在太晚的时点

很多安全提醒发生在「确认转账」之前。但对于地址投毒来说，真正关键的风险节点，通常更早——是在用户决定从历史记录中复制地址的那一刻。

如果风险识别和提醒只出现在最后一步，那么前面的误操作路径其实已经形成。

面对地址投毒，钱包需要做的不只是「提醒」

这类风险的特殊之处在于，它并不是单靠用户多看一眼、再谨慎一点就能彻底解决。

钱包作为用户与链上交互的入口，应该承担更多前置判断与主动防护的工作，把风险尽量拦在更早的触点上，而不是把全部压力都留给用户自己。

在 imToken 2.19.0 中，我们针对地址投毒相关风险，对安全风控能力做了进一步升级。整体思路不是增加单一提示，而是在用户实际操作链路中，把识别、过滤、提醒和校验前置到更合适的位置。

围绕地址投毒的三层防护

1. 隐藏高风险交易，减少账单污染

针对恶意地址通过小额或 0 金额交易污染账单记录的情况，新版本默认开启了「隐藏风险交易」能力。

当系统识别到高风险投毒交易后，会优先在交易记录和相关通知中进行过滤，尽量减少这类干扰信息直接进入用户视野。

这样做的目的，不只是让界面更清爽，更重要的是从源头降低用户误从历史记录中复制到风险地址的概率。

2. 把提醒前置到复制动作发生时

地址投毒最关键的突破口，不是转账按钮本身，而是复制地址这一步。

因此，在用户从交易详情页执行复制操作时，系统会增加更明确的交互提醒，引导用户对地址进行更完整的核对，而不是只依赖首尾字符进行判断。

相比只在转账前做提示，这种方式更接近真实风险发生的节点，也更有助于打断“顺手复制”的惯性路径。

3. 在关键链路中持续标记风险

除了记录列表和复制场景之外，系统也会在交易详情、转账前校验等关键触点，对疑似风险地址给出明显标识和相应提醒。

这样做并不是为了增加打扰，而是希望在用户真正做出下一步操作前，给出更及时、更一致的风险反馈。

技术解读：为什么地址投毒需要「动态感知」的风控能力

地址投毒并不是利用链上协议漏洞，而是利用用户的操作习惯与视觉惯性。攻击者通过制造与真实地址高度相似的伪装地址，再借助小额或 0 值交易将其混入历史记录，诱导用户在后续操作中误复制、误转账。

它之所以难治理，一个重要原因在于：从链上执行结果看，这类交易往往是「正常」的。没有明显的协议异常，也没有传统意义上的攻击签名，因此单纯依赖静态黑名单或事后提醒，往往不足以覆盖真实风险。

imToken 对这类风险的应对，不是简单给地址贴上永久性的「好」或「坏」标签，而是在用户刷新交易记录、查看详情、复制地址或发起转账等关键触点，结合实时链上数据和当前交互上下文，对可疑交易进行动态识别，并驱动客户端执行过滤、标记、强提醒或前置校验等动作。

风险识别不是只看「像不像」

投毒识别的关键，不只是字符串是否相似，而是在复杂噪音环境中如何组合多类证据进行判断。当前的识别逻辑，主要会综合考虑以下几类信号：

• 相似性证据

攻击要成立，伪装地址首先需要在视觉上「足够像」。系统会对地址伪装的结构特征进行量化，用于识别这类高相似风险。

• 成本形态证据

地址投毒为了低成本扩散，往往会表现出特定的金额分布和交易形态。金额信号本身不是决定性依据，但可以与其他证据共同使用，减少单因子带来的误判。

• 行为时序证据

一些投毒交易会紧随用户真实转账行为出现，试图借助用户刚完成操作后的惯性，把伪装地址迅速塞进交易记录中。系统会在特定时间窗口与上下文条件下，对这类行为进行综合判断。

为什么要做统一风险决策？

单一信号往往不足以支撑高可信的风险判断。因此，系统会将多类证据综合评估，输出统一的风险结果，再映射到不同触点上的处理策略。

这样的设计主要带来三点收益：

• 减少误报噪音：弱信号不会单独触发高等级处置。
• 保证体验一致：同一笔交易在不同页面获得一致的风险判断。
• 支持复盘优化：每次命中都可以回溯判断依据，便于持续迭代。

对非托管钱包来说，这类风控能力尤其具有挑战性。

因为地址投毒利用的是用户行为路径，而不是明显的链上异常；攻击方式又会随着链、资产、节奏和伪装方式持续变化。在缺少中心化控制点的前提下，防护效果更依赖识别质量、产品触点设计和策略迭代能力之间的协同。

因此，imToken 将这类能力建设为一套可持续演进的安全工程体系，支持策略更新、版本化管理，以及效果观测与复盘，让防护能力能够持续跟上攻击方式的变化。

如何升级防护能力

如果你已经在使用 imToken，建议尽快升级至 2.19.0。

针对地址投毒相关风险，新版本已默认开启相应防护能力，无需额外设置，即可获得更前置的风险识别与提醒体验。

写在最后

地址投毒提醒我们，Web3 安全并不只发生在「最危险」的时刻，也可能藏在最日常、最熟悉的操作里。

当风险开始利用人的习惯，安全能力也需要从「结果提醒」进一步走向「过程防护」。对钱包来说，更重要的不只是把交易执行出去，而是在关键节点帮助用户减少误判、降低误操作风险。

这也是 imToken 持续升级安全风控能力的原因：让用户在保持自我掌控的同时，获得更及时、更实际的安全保护。