Superfortune：攻擊系簽名者私鑰洩露而非地址投毒，不是內部人員所為

ChainCatcher 消息，Manta 孵化的 Superfortune 在 X 平台就近日安全事件發布更新稱，攻擊不是內部人員所為，也沒有任何團隊成員參與，關於團隊秘密出售代幣的說法是錯誤的。團隊也未與 Web3Port 有接觸。

調查確認：攻擊並非地址投毒，而是簽名者私鑰洩露。攻擊者獨立持有私鑰，在正確交易 43 分鐘後提交了偽造地址的交易。偽造地址與正確地址首尾四字符相同（0x70AE 開頭、5C15 結尾），用於在 Safe 界面預覽中偽裝。被盜資金全程可追溯，目前存放在以太坊上的三個冷錢包中，約 2784 枚 ETH，另有約 17 萬枚 USDT 被跨鏈轉出。

攻擊者還創建了大量仿冒地址，並用 Unicode 偽造的代幣符號向這些地址發送虛假轉帳事件，試圖混淆追蹤。這種仿冒地址構造技術與攻擊本項目時使用的手法相同。攻擊者預先搭建了大規模基礎設施，表明這是工業化操作，而非機會主義攻擊。