Знедолена жертва втратила 50 мільйонів USDT внаслідок шахрайства з отруєнням адреси

Трагічний інцидент минулого грудня показує, наскільки швидко можуть зникнути великі суми криптовалюти через одну просту помилку. Один із трейдерів опинився у безвихідній ситуації, втративши майже 50 мільйонів USDT внаслідок складної атаки, яка використовувала не найновішу технологію, а природну людську схильність покладатися на історію браузера та гаманця.

Як зловмисник підставив пастку трейдеру

Все почалося невинно. Трейдер хотів перенести свої активи з біржі до приватного гаманця і перед основним переказом зробив тестову транзакцію на 50 USDT. Ця маленька, обережна операція до його справжньої адреси гаманця стала для зловмисника відкриттям, який спостерігав за кожним його рухом.

Кіберзлочинець одразу створив фальшивий адресу гаманця — і тут ключова деталь — перші чотири та останні чотири символи цього підробленого адреси були ідентичні з реальним. Наприклад, якщо справжній адрес виглядав як 0xBAF4…F8B5, шахрай створив адресу, яка на перший погляд була для будь-якого користувача незрізненною від оригіналу.

Заражена історія транзакцій — невидима пастка

Зловмисник надіслав з цього фальшивого адреси невелику кількість криптовалюти безпосередньо жертві. Це виявилося геніальним ходом — він зіпсував історію транзакцій трейдера, вставивши фальшивий адресу у найнові записи. Більшість сучасних гаманців і блокчейн-експлорерів через довжину адрес скорочують їх до вигляду з многоточчям посередині — тому підроблений адрес виглядав ідентично оригінальному.

Коли жертва вирішила перенести решту 49,999,950 USDT, вона піддалася природній реакції: скопіювала адресу отримувача з останніх транзакцій замість того, щоб взяти її безпосередньо з вкладки «Отримати» у гаманці. Одна секунда неуважності, один копіпаст з неправильного джерела — і кошти опинилися на рахунку шахрая.

Миттєва втеча: DAI, ETH і анонімізація

З моменту атаки address poisoning минуло всього 30 хвилин. За цей короткий час викрадені USDT були обміняні на стабільну монету DAI (з стабільною оцінкою близько 1,00 USD), а потім швидко конвертовані приблизно у 16 690 ETH. За даними на час інциденту ETH оцінювався у кілька тисяч доларів за штуку, що підтверджує масштаб збитків у доларах США. Після цього криптовалюти пройшли через Tornado Cash — сервіс змішування, який усуває безпосередній зв’язок між адресою відправника та отримувача, практично ускладнюючи відстеження та повернення коштів.

Безнадійна спроба — і провал

Коли трейдер усвідомив, що сталося, він надіслав on-chain повідомлення з пропозицією винагороди — 1 мільйон доларів за повернення 98 відсотків викрадених коштів. Це була спроба домовитися з людиною, яка щойно втратила їх. Відповіді не було. До моменту публікації звіту активи не були повернені.

Відомий експерт з безпеки Specter, який аналізував цей інцидент, висловив своє здивування: «Це, мабуть, найменш ймовірний спосіб втратити таку велику суму. Достатньо було кілька секунд правильно скопіювати адресу — і цю трагедію можна було уникнути.»

Чому ці атаки стають все поширенішими?

Зі зростанням вартості портфелів криптовалют, атаки типу address poisoning стали для кіберзлочинців більш вигідними ніж будь-коли раніше. Це не складний хак на просунуті протоколи, не вимагає Zero Day exploit — достатньо спостереження, швидкості та людської природної схильності.

Чотири практичні способи захисту від address poisoning

Щоб уникнути подібної долі, досвідчені трейдери та новачки повинні дотримуватися кількох простих правил:

По-перше, завжди отримуйте адресу отримувача безпосередньо з вкладки «Отримати» у своєму гаманці або від особи/сервісу, якому переказуєте кошти. Ніколи не копіюйте адресу з історії транзакцій, незалежно від того, наскільки впевнені, що це правильний.

По-друге, додайте всі довірені адреси до білого списку у своєму гаманці. Багато сучасних криптогаманців мають цю функцію — вона дозволяє позначити певні адреси як безпечні та отримувати попередження, коли намагаєтеся надіслати кошти на адресу поза списком.

По-третє, якщо ви використовуєте повну верифікацію адреси (full address verification), встановіть цей режим на апаратному гаманці або іншому пристрої, що вимагає фізичного підтвердження кожного переказу. Це додає другий рівень перевірки — навіть якщо ви скопіюєте неправильну адресу, пристрій покаже її повністю, і ви помітите помилку.

По-четверте, при великих переказах завжди спершу зробіть тестовий переказ невеликої суми. Це класична стратегія, яку застосовує цей трейдер — однак у його випадку зловмисник підготувався до цієї обережності і відповідно відреагував.

Цей інцидент — постійне нагадування, що безпека у світі криптовалют не завжди залежить від найновіших технологій — іноді важливіше увага і звички.