50 milionów dolarów znika w sekundach: błąd kopiuj-wklej adresu portfela wywołuje jedno z najdroższych oszustw adresowych w historii kryptowalut

Najważniejsze wnioski:

• Użytkownik kryptowalut stracił prawie 50 milionów dolarów w USDT po skopiowaniu sfałszowanego adresu portfela z historii transakcji.
• Atak wykorzystał zatruwanie adresów, wykorzystując interfejsy portfeli, które ukrywają środkową część adresów.
• Środki zostały szybko wymienione i przekierowane przez wiele portfeli, a część wysłano do Tornado Cash, co ogranicza możliwości odzyskania.

Pojedynczy błąd kopiuj-wklej doprowadził do jednego z najdroższych błędów użytkowników kiedykolwiek zarejestrowanych w blockchainie. Incydent podkreśla, jak proste nawyki interfejsowe mogą przesłonić ostrożne zachowanie i prowadzić do nieodwracalnych strat.

Jak rutynowy transfer testowy zamienił się w stratę 50 milionów dolarów

Według śledczych blockchain, w tym Lookonchain, ofiara rozpoczęła od kroku, który wielu doświadczonych użytkowników uważa za najlepszą praktykę: małej transakcji testowej. Użytkownik wysłał 50 USDT na znany osobisty adres portfela, aby potwierdzić dokładność przed przeniesieniem znacznie większej kwoty.

Ten transfer testowy stał się jednak wyzwalaczem.

W ciągu chwili oszust zastosował taktykę zatruwania adresów. Atakujący stworzył adres portfela, który miał takie same pierwsze i ostatnie cztery cyfry jak prawdziwy adres ofiary. Następnie na ten adres, który wyglądał jak prawdziwy, wysłano małą transakcję do ofiary, zapewniając, że zostanie ona zapisana w historii transakcji portfela.

Kiedy ofiara wróciła, aby dokończyć główny transfer: 49 999 950 USDT, skopiowała adres z historii transakcji zamiast z oryginalnego zapisanego źródła. Ponieważ wiele interfejsów portfeli skraca adresy za pomocą „…", fałszywy adres na pierwszy rzut oka wydawał się prawidłowy. Pieniądze zostały natychmiast i bezpowrotnie przelane do hakera.

Czytaj więcej: Pi Network oznacza oszukańczy portfel w związku z ryzykiem tokenów o wartości 346 milionów dolarów, podczas gdy 60 milionów użytkowników czeka na odblokowanie

Zatruwanie adresów: atak niskobudżetowy o dużym wpływie

Nie ma potrzeby hakowania kluczy prywatnych ani korzystania z inteligentnych kontraktów. Zależy to od interfejsu użytkownika i zachowania.

Dlaczego ten atak nadal działa na dużą skalę

Większość portfeli skraca adresy w celu poprawy czytelności. Transfery są często sprawdzane przez użytkownika poprzez sprawdzenie pierwszego i ostatniego adresu. Jest to nadużywane przez atakujących, którzy generują adresy odzwierciedlające takie widoczne znaki.

W tym przypadku oszust zrobił to natychmiast po transakcji testowej, co oznacza automatyczne monitorowanie. Atakujący sprawił, że wygoda ukryła lepszy powód do ostrożności, umieszczając niemal identyczny adres w historii transakcji ofiary.

Ta metoda jest uważana za podstawową w porównaniu ze złożonymi exploitami DeFi. Jednak wynik pokazuje, że nawet „proste" oszustwa mogą prowadzić do katastrofalnych strat, gdy w grę wchodzą duże sumy.

Ruchy w blockchainie po kradzieży

Zapisy blockchain pokazują, że skradzione USDT nie pozostały bezczynne. Atakujący bardzo szybko wymienił część środków na ETH i wysłał je do kilku portfeli, co jest typowe w celu zmniejszenia możliwości śledzenia.

Aktywa zostały później przelane do Tornado Cash, miksera prywatności, który ukrywa ślady transferów. Jak tylko pieniądze zostaną zainwestowane w takie usługi, odzyskanie jest niezwykle mało prawdopodobne bez natychmiastowego działania giełd lub walidatorów.

Łańcuch portfeli został opisany przez analityków, którzy twierdzili, że był wydajny i zaplanowany z wyprzedzeniem, co oznacza, że oszust był całkowicie przygotowany do podjęcia działania, gdy tylko duży transfer został dokonany.

Dlaczego ta sprawa zszokowała analityków

Zatruwanie adresów jest powszechnie znane i często omawiane jako uciążliwe oszustwo dotyczące małych kwot. To, co wyróżnia tę sprawę, to skala i profil błędu.

Ofiara zastosowała się do powszechnego kroku bezpieczeństwa, testując małym transferem. Ironicznie, to działanie dało atakującemu sygnał potrzebny do wdrożenia sfałszowanego adresu dokładnie we właściwym momencie.

Obserwatorzy blockchain zauważyli, że zaledwie kilka sekund poświęconych na skopiowanie adresu z oryginalnego źródła, a nie z historii transakcji, całkowicie zapobiegłoby stracie. Szybkość finalizacji blockchainu nie pozostawiła żadnego okna na cofnięcie.

Czytaj więcej: Shenzhen wydaje alert przed oszustwami kryptowalutowymi, gdy oszustwa ze stablecoinami mnożą się w Chinach

Projekt portfela i czynnik ludzki

Ten incydent budzi pytania dotyczące wyborów UX portfela. Skrócone adresy poprawiają przejrzystość wizualną, ale zmniejszają bezpieczeństwo dla użytkowników obsługujących duże sumy.

Niektóre portfele ostrzegają teraz użytkowników o zatruwaniu adresów lub oznaczają adresy, które bardzo przypominają znane. Inne oferują białą listę adresów, gdzie transfery są ograniczone do wcześniej zatwierdzonych adresów. Przyjęcie tych funkcji pozostaje jednak niespójne.

W przypadku transferów o wysokiej wartości poleganie wyłącznie na kontrolach wzrokowych okazało się niewystarczające. Sprawa pokazuje, jak nawet doświadczeni użytkownicy mogą wpadać w przewidywalne wzorce pod presją czasu.

Post 50 milionów dolarów znika w sekundach: błąd kopiuj-wklej w portfelu wywołuje jedno z najkosztowniejszych oszustw adresowych w kryptowalutach pojawił się najpierw na CryptoNinjas.