地址格式校验：别再只看首尾几位了

两年前一个DeFi老手，从历史记录里复制了一个地址，扫了眼前五位后五位，确认”跟上次一样”，转了8万U。没到账。那个地址跟真正的收款地址前五位相同、后五位也相同，但中间两位被悄悄替换了。典型的地址投毒。

看首尾字符保不了你安全，因为攻击者专门挑首尾相同的来骗你。

---

四条主流链地址格式速查

链	开头特征	长度	校验机制	输错字符会怎样
BTC	1 / 3 / bc1q / bc1p	26-42位	SHA-256校验和	钱包直接报错，拒绝发送
ETH	0x + 40位十六进制	固定42位	EIP-55大小写校验	带校验和的版本会报错，全小写不会
TRX	大写T开头	33-34位	Base58Check双SHA-256	钱包直接报错，拒绝发送
SOL	无固定开头	43-44位	无校验位	看起来仍然有效，币打进去就没了

一句话：BTC、ETH（带EIP-55）、TRX输错会被拦，SOL不会。

---

BTC：三种前缀，认准了

前缀	名称	特点
1开头	Legacy/P2PKH	最老的格式，兼容性最强，手续费高
3开头	Nested SegWit/P2SH	多签常用，手续费有优势
bc1q开头	Native SegWit/Bech32	最推荐，手续费低，校验强
bc1p开头	Taproot/Bech32m	最新标准，隐私最好，但不是所有平台都支持

红线	说明
2开头 / tb1开头	测试网地址，不能转主网币
任何BTC地址	内建SHA-256校验，输错一个字直接报错

---

ETH：大小写里藏着校验码

ETH地址统一格式：0x + 40位十六进制字符（0-9, a-f），总长42位。

但大小写有讲究：

版本	样子	安全性
全小写	0x5aaeb6053ba3ef3f0965900778ec25298ffcf8c3	合法但不安全，改了字符钱包不报错
EIP-55混合大小写	0x5aAeb6053ba3EF3F0965900778EC25298FFCF8c3	每个大写字母都有密码学意义，改一个字就报错

看到大写字母别觉得奇怪，那是校验和在保护你。全小写地址能用，但别用来收大额。

所有EVM链（BSC、Polygon、Arbitrum、Base）都适用这套规则。

---

TRX：T开头，有校验，但有个坑

特征	说明
格式	大写T开头，Base58Check编码
校验	双SHA-256，输错字符直接拦截
坑	能以Base58（T开头）和Hex两种格式存在，看到非T开头的别急着判无效

---

SOL：最危险的一个，没有校验位

特征	说明
格式	Base58编码，43-44位，无固定开头
校验	没有
后果	删一个字、换一个字，看起来仍然是”有效地址”，币打进去永远找不回

这就是SOL成为地址投毒重灾区的原因。攻击者可以批量生成”看起来有效”且首尾相同的假地址，校验机制根本拦不住。

SOL地址唯一的安全方式：逐位核对完整地址。只看首尾等于没防护。

---

格式校验拦不住的东西

校验能做的	校验做不到的
判断”这串字符格式上是否合法”	判断”这是不是你要转的那个地址”
拦截输入错误	拦截地址投毒
拦截剪贴板篡改	拦截中间人替换

2026年1月，链上地址投毒攻击尝试量340万次，比前一年11月涨了5.5倍。成本几乎为零，中招一次代价是全部资产。

---

五条实操习惯，比任何算法都可靠

习惯	为什么
别从历史记录复制地址	投毒核心手法就是往你历史记录里塞假地址
多通道交叉验证	对方发的地址，至少两个渠道再确认一遍
大额前先小额测试	测试成功后别用剪贴板残留地址转大额，木马可能在等你第二次复制
用地址簿（白名单）	确认过的地址存进去，以后从地址簿调，绕开剪贴板风险
SOL地址逐位核对	没有校验位兜底，首尾相同就是陷阱

---

最后四句话

链	记住
BTC	1/3/bc1开头，2和tb1是测试网
ETH	0x+40位十六进制，优先用带大小写的EIP-55版本
TRX	T开头，有校验，格式错了会拦截
SOL	没校验位，只有逐位核对才靠谱

格式校验是第一道防线，但不是万能的。最安全的做法从来不是信任算法，而是建立一套不依赖单一验证点的操作流程。 转账前停顿三秒，可能是你做过最划算的投资。

---

地址校验知识科普，不构成投资建议。数据基于公开技术标准整理，具体因钱包版本可能有差异。加密操作风险极高，转账前务必多渠道验证地址。风险自担。