本文主要介绍了骗子利用用户复制交易记录中过往地址的这个习惯，生成相同尾号的地址作为伪装地址，并利用伪装地址向用户不断空投小额的 Token，使得骗子的地址出现在用户的交易记录中，用户稍不注意就复制错误地址，导致资产损失。

近期，有多个用户向我们反映资产被盗。

根据多名中招用户的反馈，似乎是攻击者针对交易规模较大频率较高的用户不断空投小额数量的 Token（例如 0.01 USDT 或0.001 USDT 等），攻击者地址尾数和用户地址尾数几乎一样，通常为后几位，用户去复制历史转账记录中的地址时一不小心就复制错，导致资产损失。

相关信息

攻击者地址 1：TX...dWfKz

用户地址 1：TW...dWfKz

攻击者地址 2：TK...Qw5oH

用户地址 2：TW...Qw5oH

MistTrack分析

先看看两个攻击者地址大致的交易情况。

可以看到，攻击者地址 1（TX...dWfKz）与用户地址（TW...dWfKz）尾数都是 dWfKz，在用户损失了 115,193 USDT 后，攻击者又先后使用两个新的地址分别对用户地址空投 0.01 USDT 和 0.001 USDT，尾数同样是 dWfKz。

同样，攻击者地址 2（TK...Qw5oH）与用户地址（TW...Qw5oH）尾数都是 Qw5oH，在用户损失了 345,940 USDT 后，攻击者又使用新的地址（尾数为 Qw5oH）对用户地址空投 0.01 USDT。

接下来，我们使用 MistTrack 来分析攻击者地址 1（TX...dWfKz）。如下图，攻击者地址 1 将 0.01 USDT、0.02 USDT 不断空投到各目标地址，而这些目标地址都曾与尾号为 dWfKz 的地址有过交互。

往上追溯看看该地址的资金来源。最早一笔来自地址 TF...J5Jo8 于 10 月 10 日转入的 0.5 USDT。

初步分析下地址 TF...J5Jo8：

该地址对将近 3300 个地址分别转入 0.5 USDT，也就是说，这些接收地址都有可能是攻击者用来空投的地址，我们随机选择一个地址验证。