我搜的那个跨链桥

2025 年 8 月 8 日下午(这是老郭后来在 corrections 邮件里讲给我的全过程),我想把 BSC 上 8 万 USDT 桥到 Arbitrum。我之前用过 Stargate 一两次,但没存书签。我打开 Google 搜「bsc to arbitrum bridge」,第一条是带「Sponsored」灰字的 Google Ads,链接显示文字是 stargate.finance 蓝色加粗。我点了。

页面看起来跟我之前用过的 Stargate 一模一样:同样的紫色主色、同样的左侧链选择器、同样的右侧 swap 风格、同样的 powered by LayerZero 徽章。我没注意到地址栏里实际是 stargate-bridge[.]finance —— 浏览器地址栏在我笔记本上有点小,我习惯只看链接文字不看 URL。

0.5 秒,被我说服自己

连 MetaMask、选 BSC → Arbitrum、8 万 USDT、点 Bridge。MetaMask 弹出来一个签名窗。我扫了一眼 recipient 字段,看到的是 0xc0ff... 开头一串。那一秒我有过 0.5 秒的犹豫 —— 我心里有个模糊印象「真 Stargate Router 是 0x8731 开头的」。

但是 0xc0ff... 看起来太「漂亮」了 —— 一串 vanity 地址有种「这家工程团队认真做事」的感觉。我那 0.5 秒说服自己:「也许 Stargate 在 BSC 上新部署了一个 vanity Router?」 我没去 docs.stargate.finance 核对,直接 Confirm。

事后看,攻击者用 vanity 地址(profanity / vanitygen 一类工具暴力计算 0xc0ff 开头的私钥)就是赌这种心理 —— 真 Router 地址 0x8731 开头不漂亮但是真的,攻击者地址 0xc0ff 开头漂亮但是假的。漂亮地址比丑地址更可信,这是个用户心理盲点。

2 小时之后的链上回放

8 万 USDT 转走。页面显示「Bridge pending, please wait 10-30 min」。我等了 2 小时,Arbitrum 上从未到账。链上一查,钱直接进了 EOA 攻击者地址,不是任何合约 —— 真 Stargate Router 是合约地址,假桥连合约都没部署,钱直接进了攻击者钱包。

最后悔的不是 8 万。是我从一开始就走了错的入口路径。如果当时我从书签栏进 Stargate 官方 —— 我之前用过两次完全可以存书签 —— 这事不会发生。Google 搜跨链桥的关键词是 2024-2025 年钓鱼广告的高发区,跟 Ledger / MetaMask 一样是攻击者重点投放的赛道。stargate / across / synapse / hop 等关键词搜出来的 Sponsored 广告 80% 是钓鱼站。Google Ads 对这一类的审核长期薄弱,举报响应也慢。

我现在用的硬规则:

  1. 从书签栏进跨链桥,不再 Google 搜。任何我用过两次以上的工具立刻存书签
  2. 每次 bridge 前在 LayerZero scan / Across scan 等聚合站验证目标桥确实部署在源链和目标链
  3. 首次大额转账前先做一次 100 USDT 的小额测试,到账确认后再做大额
  4. MetaMask 弹窗的 recipient 字段每次必须跟 docs.{协议名}.finance 里查到的 Router 地址逐字符核对
  • Google Ads 第一条是带「广告 / Sponsored」标记的跨链桥 —— 直接跳过看自然结果
  • 桥页面 URL 带 stargate-finance / stargate-bridge / synapse-protocol 等变体
  • Bridge 时 MetaMask 弹窗里 recipient 是 EOA 地址(不是合约地址)—— 真桥永远是合约
  • 桥转账完成后另一条链上没有任何 mint / transfer 记录 —— 钱原地消失
  • 桥页面没显示 powered by LayerZero / Wormhole / CCTP 等底层协议徽章

钱通过 EOA 转走基本无法追回。按《私钥泄露应急 · 五步抢救流程》后半流程:保留证据、报警、提交链上分析机构。举报这个钓鱼桥到 Google Safe Browsing、真 Stargate 官方 phishing@stargate.finance、DM @StargateFinance。我后来用证据找 Caddy / CF 把 stargate-bridge.finance 域名报到 PhishTank、Google Safe Browsing、Microsoft SmartScreen 三个公开钓鱼库 —— 一周后这个域名被主流浏览器拦截,但攻击者很快换了新域名 stargate-bridge-app.xyz 继续运营。这是消耗战,每个受害者补一刀进黑名单库就是一份贡献。

老郭这案后来用证据找 Caddy / CF 把 stargate-bridge.finance 这个域名报到 PhishTank、Google Safe Browsing、Microsoft SmartScreen 三个公开钓鱼库。一周后这个域名被主流浏览器拦截,但攻击者很快换了新域名 stargate-bridge-app.xyz 继续运营。

写在最后

这个案例的真正用法不是看完点个收藏,而是把识别要点那几条记进脑子里。下次类似场景出现时,让你 3 秒内识破。

冷藏君

持币手册的作者。2016 年入场,经历过几轮牛熊,自己被骗过、也救回过别人的币。这本手册是把这些年学到的、踩过的、救回的,整理出来。

相关阅读

私钥泄露应急 · 五步抢救流程 钓鱼诈骗全图谱 · 2026 版 回到钓鱼案例库
本文所有「案例描述」均为基于真实事件的合成与脱敏改写,不指向任何具体真实当事人。文中具体金额、时间、人名均为案例库的脱敏数据。本文不构成投资建议或法律建议,仅供学习参考。如发现内容错漏或想补充新型案例,欢迎通过勘误页反馈。