Отчаявшаяся жертва потеряла 50 миллионов USDT в результате мошенничества с отравлением адреса

Трагический инцидент прошлого декабря показывает, как быстро могут исчезнуть огромные суммы криптовалют из-за одной простой ошибки. Один из трейдеров оказался в отчаянной ситуации, потеряв почти 50 миллионов USDT в результате продвинутой атаки, которая использовала не самую современную технологию, а естественную склонность человека полагаться на историю его браузера и кошелька.

Как злоумышленник заманил трейдера в ловушку

Все началось невинно. Трейдер хотел перевести свои активы с биржи в личный кошелек и перед основным переводом сделал тестовую транзакцию на 50 USDT. Эта небольшая, осторожная операция на его настоящий адрес кошелька стала для злоумышленника обнаружением, который следил за каждым его движением.

Киберпреступник сразу создал поддельный адрес кошелька — и здесь важный момент — первые четыре и последние четыре символа этого поддельного адреса совпадали с настоящим. Например, если оригинальный адрес выглядел как 0xBAF4…F8B5, мошенник создал адрес, который на первый взгляд ничем не отличался от оригинала.

Зараженная история транзакций — невидимая ловушка

Злоумышленник отправил с этого фальшивого адреса небольшое количество криптовалюты прямо жертве. Это оказалось гениальным ходом — он испортил историю транзакций трейдера, вставив ложный адрес в последние записи. Большинство современных кошельков и блокчейн-эксплореров из-за длины адресов сокращают их до вида с многоточием посередине — поэтому поддельный адрес выглядел точно так же, как оригинальный.

Когда жертва решила перевести оставшиеся 49,999,950 USDT, она совершила естественную ошибку: скопировала адрес получателя из последних транзакций вместо того, чтобы взять его напрямую из вкладки «Получить» в кошельке. Одна секунда невнимательности, один копипаст из неправильного источника — и средства оказались на счету мошенника.

Молниеносный побег: DAI, ETH и анонимизация

С момента атаки на poisoning адресов прошло всего 30 минут. За это короткое время украденные USDT были обменяны на стейблкоин DAI (поддерживающий стабильную цену около 1,00 USD), а затем быстро конвертированы примерно в 16 690 ETH. Согласно данным на момент инцидента, ETH оценивался в несколько тысяч долларов за штуку, что подтверждает размер потери в долларах США. После этого криптовалюты прошли через Tornado Cash — сервис микширования, который устраняет прямую связь между отправителем и получателем, практически делая невозможным отслеживание и возврат средств.

Отчаянная попытка — и провал

Когда трейдер понял, что произошло, он отправил on-chain сообщение злоумышленнику с предложением вознаграждения — 1 миллион долларов за возврат 98 процентов украденных средств. Это была попытка договориться с человеком, который уже исчез с их деньгами. Ответа не последовало. На момент публикации отчета активы не были возвращены.

Известный специалист по безопасности Specter, анализировавший этот инцидент, выразил свое удивление развитием ситуации: «Это, наверное, самый маловероятный способ потерять такую огромную сумму. Достаточно было потратить несколько секунд на правильное копирование адреса — и всей трагедии можно было избежать.»

Почему такие атаки становятся все более распространенными?

С ростом стоимости криптовалютных портфелей мошенничество типа address poisoning стало для киберпреступников более выгодным, чем когда-либо. Это не сложный взлом продвинутых протоколов, не требует Zero Day эксплойтов — достаточно наблюдения, скорости и использования человеческой природы.

Четыре практических способа защититься от address poisoning

Чтобы избежать подобной участи, опытные трейдеры и новички должны внедрить несколько простых правил:

Во-первых, всегда получайте адрес получателя напрямую из вкладки «Получить» в вашем кошельке или от человека/сервиса, которому переводите средства. Никогда не копируйте адрес из истории транзакций, независимо от того, насколько уверенны, что это правильный адрес.

Во-вторых, добавьте все доверенные адреса в белый список в вашем кошельке. Многие современные криптокошельки предлагают такую функцию — она позволяет помечать определенные адреса как безопасные и получать предупреждения при попытке отправить средства на адрес вне списка.

В-третьих, если вы используете полную проверку адреса (full address verification), настройте ее на аппаратном кошельке или другом устройстве, требующем физического подтверждения каждого перевода. Это добавляет второй уровень проверки — даже если вы скопируете неправильный адрес, устройство покажет его полностью, и вы заметите ошибку.

В-четвертых, при больших переводах всегда сначала делайте тестовую транзакцию на небольшую сумму. Это классическая стратегия, которую использует этот трейдер — однако в его случае злоумышленник подготовился к такой осторожности и правильно среагировал.

Этот инцидент — постоянное напоминание, что безопасность в мире криптовалют не всегда зависит от новейших технологий — иногда важнее внимание и привычка.