惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

宝玉的分享
宝玉的分享
T
Threat Research - Cisco Blogs
H
Hacker News: Front Page
N
News and Events Feed by Topic
Know Your Adversary
Know Your Adversary
Cisco Talos Blog
Cisco Talos Blog
SecWiki News
SecWiki News
C
Cisco Blogs
D
Darknet – Hacking Tools, Hacker News & Cyber Security
T
Tor Project blog
K
Kaspersky official blog
Forbes - Security
Forbes - Security
Webroot Blog
Webroot Blog
Schneier on Security
Schneier on Security
P
Privacy & Cybersecurity Law Blog
H
Heimdal Security Blog
Y
Y Combinator Blog
The GitHub Blog
The GitHub Blog
S
SegmentFault 最新的问题
V
Vulnerabilities – Threatpost
T
Tenable Blog
T
Tailwind CSS Blog
P
Privacy International News Feed
WordPress大学
WordPress大学
大猫的无限游戏
大猫的无限游戏
小众软件
小众软件
博客园 - Franky
Hacker News: Ask HN
Hacker News: Ask HN
Jina AI
Jina AI
C
Cybersecurity and Infrastructure Security Agency CISA
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
雷峰网
雷峰网
Vercel News
Vercel News
A
About on SuperTechFans
爱范儿
爱范儿
Simon Willison's Weblog
Simon Willison's Weblog
AWS News Blog
AWS News Blog
The Last Watchdog
The Last Watchdog
Engineering at Meta
Engineering at Meta
Spread Privacy
Spread Privacy
Security Archives - TechRepublic
Security Archives - TechRepublic
博客园 - 司徒正美
量子位
博客园 - 三生石上(FineUI控件)
J
Java Code Geeks
Hacker News - Newest:
Hacker News - Newest: "LLM"
Recorded Future
Recorded Future
H
Hackread – Cybersecurity News, Data Breaches, AI and More
Martin Fowler
Martin Fowler
Project Zero
Project Zero

以太坊

ERC-4337 的 Bundler 网络会不会成为新的审查单点? 最近学了一点点 web3 开发,我把学习内容做成网站笔记,分享给 web3 初学者 狗屎运。昨晚睡觉前下了单 eth 的 10 倍的做空合约,醒来一看赚了 30%。发帖得瑟一下 BasePaint 在家里跑 ETH、BSC 节点要紧不 Sign 第二期空投活动已经开始 大毛,领取 Etherscan 积分 以太坊十周年纪念 NFT 地板价 5.01U eth 这次能破前高吗 我从币安提现 eth,为啥钱包 account 1 的 eth 地址只可以用 BSC 网络, account 2 的地址却 BSC 和 ETH 网络都可以用? 以太坊十周年纪念 NFT 复刻一个 etherscan.io 这样的网站需要多少钱? 以太坊是否可以离线验证交易是否成功? [ETHGlobal Cannes] 第一次参加 IRL 黑客松,和同事一起做的项目获奖了,很开心 目前 Ethereum 生态里有哪些形态接近 ko-fi.com / Buy Me a Coffee / Kickstarter 的产品? Uniswap V4 中如何从 PoolManager 获取指定池的 ETH 余额? Uniswap v4 出来了,怎么看不懂啊 有人对 AI 模型根据开源项目依赖和数据生成权重分配赞助资金感兴趣吗? 这个 UI 实在是太酷了 搞爬虫前的一些疑问 - V2EX 目前 eth 全节搭建硬盘占用问题 写了一个以太坊靓号生成器, 支持多节点运行, 让你的任意设备成为计算节点 - V2EX 为什么以太坊的 Uncle rewards 比 block rewards 少那么多? STARK 都领了吗? blockchain.com 还有一点以太币,放了几年了都快忘记了,请问如何提现。 华为云开始做以太坊质押服务了 兄弟们 怎么看? 你们运行的以太坊全节点完全同步用了多久? 今天发现以太坊的手续费下降了很多,发生了啥?好像没看见有升级啊?哪位大佬指点一下?谢谢 现在国内还能运行全节点吗 Magician-Scanning 1.0.12 发布 viem 用 PostgreSQL 来存储以太坊上的所有交易 transaction,如何分表分库? 以太坊全节点和归档节点之间能互相同步数据吗? eth 和 bit 域名本质上是一样的吗?两者关系类似 com 和 net? 升级成千兆宽带, Geth 节点一晚上就同步好了 为什么太坊这种几千亿市值的项目,居然连断电保护都做不好? 以太坊全节点突然断电后无法同步 请教一下购买 ENS 域名支付的问题 有了这个工具包,用 Java 调用智能合约更加简便了 Magician-Web3 1.0.5 发布啦,加入了负载均衡 和 重试策略 Magician-Web3 1.0.3 发布啦,可以根据 inputData 里的数据 进行监控了 Magician-Web3 1.0.2 发布,支持配置代理 大家好,我开发了一个扫块的 工具包,可以用来方便的监听 交易动态 请教一个 Eth 合约调用 Gas 的计算问题. 以太坊如何查出所有的 Pull Rugged (跑路/割韭菜) 项目? geth 的 bootnodes 好像不能作为服务发现了? 树莓派搭建以太坊全节点的成本是多少? - V2EX PoS 会让以太坊的安全性受到威胁吗? macOS 的快捷指令有啥比较亮眼的用法?
以太坊可以随便声明我向外转出 Token?不需要我的同意和授权?
renfei · 2025-09-06 · via 以太坊

准确来说,你这个并不是「零值转账」,区块浏览器现在都默认不会显示「零值转账」交易记录了。我梳理下目前的地址投毒手法:

假设黑客监测到受害者的转账记录:
A --> B (X Y)
A 地址向 B 地址转账 X 枚 Y 代币。

黑客可以选择实施以下地址投毒攻击:
> B' 地址和 B 地址的首尾多个字符相同,不仔细辨认容易认错。
> 投毒攻击的最终目的,是期待受害者下次转账时转到黑客构造的 B' 地址。

1. A --> B' (0 Y)
构造 A 地址向 B' 地址转账 0 枚 Y 代币的交易。由于绝大多数 ERC20 代币合约的 `transferFrom` 方法未严格区分「未授权」和「授权数量 0 」,导致使用 `transferFrom` 转移 0 数量代币可以绕过授权检查( Maybe it's a feature, not a bug ),即任何人都可以构造 A 地址转移 0 枚 Y 代币的交易。但目前几乎所有 Ethereum 浏览器都默认不会显示 0 数量代币的交易记录,所以这个方法已经不再使用。

2. B' --> A (小额 Y)
构造 B' 地址向 A 地址转移小额 Y 代币的交易。由于 0 数量代币交易记录已经不会默认显示了,所以黑客转而构造小额代币转移交易。但由于授权机制的限制,黑客不能将 A 地址构造成发送者,只能向 A 地址转账。由于 B' 地址是发送者不是目的地址,受害者上当的概率会小一些。

3. A --> B' (X Y')
构造 A 地址向 B' 地址转移 X 枚 Y' 代币的交易。Y' 代币是黑客构造的假代币。黑客可以通过合约随意构造 A 地址转移 Y' 代币的交易记录。而且为了让受害者更容易上当,转移数量会和受害者真实的转移数量保持一致。这是目前最常见的攻击手法,也是 OP 遇到的攻击类型。

总之,转账前一定要再三确认目的地址,不能只看前后几位。大额转账先小额转下确认没问题再转剩下的。