50 ล้านดอลลาร์หายวับในพริบตา: ข้อผิดพลาดจากการคัดลอก-วางที่อยู่กระเป๋าเงินก่อให้เกิดหนึ่งในกลโกงแอดเดรสที่มีค่าใช้จ่ายสูงสุดในคริปโต

ประเด็นสำคัญ:

• ผู้ใช้คริปโตสูญเสียเกือบ $50 ล้าน USDT หลังจากคัดลอกที่อยู่กระเป๋าเงินปลอมจากประวัติธุรกรรม
• การโจมตีใช้วิธี address poisoning โดยใช้ประโยชน์จากอินเทอร์เฟซกระเป๋าเงินที่ซ่อนตัวอักษรตรงกลางของที่อยู่
• เงินถูกสับเปลี่ยนและส่งผ่านหลายกระเป๋าเงินอย่างรวดเร็ว โดยส่วนหนึ่งถูกส่งไปยัง Tornado Cash ทำให้ตัวเลือกในการกู้คืนมีจำกัด

ความผิดพลาดจากการคัดลอก-วางเพียงครั้งเดียวส่งผลให้เกิดข้อผิดพลาดของผู้ใช้ที่มีราคาแพงที่สุดที่เคยบันทึกไว้บนเชน เหตุการณ์นี้เน้นย้ำว่านิสัยในการใช้งานอินเทอร์เฟซง่ายๆ สามารถลบล้างพฤติกรรมที่ระมัดระวังและนำไปสู่การสูญเสียที่ย้อนกลับไม่ได้

การโอนเงินทดสอบตามปกติกลายเป็นการสูญเสีย $50 ล้าน

ตามรายงานของผู้ตรวจสอบออนเชน รวมถึง Lookonchain เหยื่อเริ่มต้นด้วยขั้นตอนที่ผู้ใช้งานมากประสบการณ์หลายคนถือว่าเป็นแนวปฏิบัติที่ดีที่สุด: ธุรกรรมทดสอบจำนวนเล็กน้อย ผู้ใช้ส่ง 50 USDT ไปยังที่อยู่กระเป๋าเงินส่วนตัวที่คุ้นเคยเพื่อยืนยันความถูกต้องก่อนย้ายจำนวนเงินที่มากกว่ามาก

อย่างไรก็ตาม การโอนเงินทดสอบนั้นกลายเป็นตัวกระตุ้น

ภายในไม่กี่นาที มошенник ใช้กลยุทธ์ address poisoning ผู้โจมตีสร้างที่อยู่กระเป๋าเงินที่มีตัวเลขสี่ตัวแรกและสี่ตัวสุดท้ายเหมือนกับที่อยู่จริงของเหยื่อ จากนั้นธุรกรรมเล็กน้อยถูกส่งไปยังเหยื่อบนที่อยู่นี้ซึ่งดูเหมือนเป็นที่อยู่จริง เพื่อให้แน่ใจว่ามันจะถูกบันทึกในประวัติธุรกรรมของกระเป๋าเงิน

เมื่อเหยื่อกลับมาเพื่อทำการโอนเงินหลัก: 49,999,950 USDT พวกเขาคัดลอกที่อยู่จากประวัติธุรกรรมแทนที่จะเป็นแหล่งที่บันทึกไว้เดิม เนื่องจากอินเทอร์เฟซกระเป๋าเงินหลายตัวตัดที่อยู่ด้วย "…" ที่อยู่ปลอมจึงดูถูกต้องตามกฎหมายเมื่อมองผ่านๆ เงินถูกโอนทันทีและถาวรไปยังแฮกเกอร์

อ่านเพิ่มเติม: Pi Network ตั้งค่าสถานะกระเป๋าเงินหลอกลวงท่ามกลางความเสี่ยงโทเค็น $346 ล้าน ขณะที่ผู้ใช้ 60 ล้านคนรอปลดล็อก

Address Poisoning: การโจมตีเทคโนโลยีต่ำที่มีผลกระทบสูง

ไม่จำเป็นต้องแฮ็กคีย์ส่วนตัวหรือใช้สัญญาอัจฉริยะ มันขึ้นอยู่กับอินเทอร์เฟซและพฤติกรรมของมนุษย์

ทำไมการโจมตีนี้ยังคงใช้งานได้ในวงกว้าง

กระเป๋าเงินส่วนใหญ่ย่อที่อยู่เพื่อเพิ่มความสามารถในการอ่าน ผู้ใช้มักตรวจสอบการโอนเงินโดยการตรวจสอบที่อยู่ตัวแรกและตัวสุดท้าย สิ่งนี้ถูกใช้ประโยชน์โดยผู้โจมตีที่สร้างที่อยู่ที่สะท้อนตัวอักษรที่มองเห็นเหล่านั้น

ในกรณีนี้ มошენник ทำสิ่งนี้ทันทีหลังจากธุรกรรมทดสอบและมันบ่งชี้ถึงการตรวจสอบอัตโนมัติ ผู้โจมตีทำให้ความสะดวกสบายซ่อนเหตุผลที่ดีกว่าในการระมัดระวังโดยการวางที่อยู่ที่เกือบเหมือนกันในประวัติธุรกรรมของเหยื่อ

วิธีนี้ถือว่าเป็นพื้นฐานเมื่อเทียบกับการโจมตี DeFi ที่ซับซ้อน แต่ผลลัพธ์แสดงให้เห็นว่าแม้แต่การหลอกลวง "ง่ายๆ" ก็สามารถสร้างความสูญเสียที่ร้ายแรงเมื่อเกี่ยวข้องกับจำนวนเงินจำนวนมาก

การเคลื่อนไหวบนเชนหลังจากการโจรกรรม

บันทึกบล็อกเชน แสดงให้เห็นว่า USDT ที่ถูกขโมยไม่ได้อยู่เฉยๆ ผู้โจมตีแลกเปลี่ยนส่วนหนึ่งของเงินเป็น ETH อย่างรวดเร็วและส่งไปยังหลายกระเป๋าเงิน ซึ่งเป็นเรื่องปกติในการลดการตามรอยได้

สินทรัพย์ถูกโอนไปยัง Tornado Cash ในภายหลัง ซึ่งเป็นเครื่องมือปกปิดความเป็นส่วนตัวที่ซ่อนร่องรอยการโอนเงิน ทันทีที่เงินถูกลงทุนในบริการดังกล่าว การกู้คืนเป็นไปได้ยากมากหากไม่มีการดำเนินการทันทีจากแพลตฟอร์มแลกเปลี่ยนหรือผู้ตรวจสอบ

ลูกโซ่ของกระเป๋าเงินถูกอธิบายโดยนักวิเคราะห์ที่อ้างว่ามันมีประสิทธิภาพและวางแผนไว้ล่วงหน้า หมายความว่า มошенник พร้อมที่จะดำเนินการทันทีที่การโอนเงินจำนวนมากเสร็จสิ้น

ทำไมกรณีนี้จึงทำให้นักวิเคราะห์ตกใจ

Address poisoning เป็นที่รู้จักอย่างกว้างขวางและมักถูกพูดถึงว่าเป็นการหลอกลวงที่น่ารำคาญที่เกี่ยวข้องกับจำนวนเงินเล็กน้อย สิ่งที่ทำให้กรณีนี้โดดเด่นคือ ขนาด และ ลักษณะของความผิดพลาด

เหยื่อปฏิบัติตามขั้นตอนความปลอดภัยทั่วไปโดยการทดสอบด้วยการโอนเงินจำนวนเล็กน้อย กลับกัน การกระทำนั้นให้สัญญาณที่ผู้โจมตีต้องการเพื่อใช้ที่อยู่ปลอมในเวลาที่เหมาะสมพอดี

ผู้สังเกตการณ์บนเชนสังเกตว่าเพียงไม่กี่วินาทีที่ใช้ในการคัดลอกที่อยู่จากแหล่งเดิม แทนที่จะเป็นประวัติธุรกรรม จะป้องกันการสูญเสียได้ทั้งหมด ความเร็วของความสมบูรณ์ของบล็อกเชนไม่เหลือช่องว่างสำหรับการยกเลิก

อ่านเพิ่มเติม: เซินเจิ้นออกคำเตือนการฉ้อโกงคริปโตขณะที่การหลอกลวง Stablecoin เพิ่มขึ้นทั่วจีน

การออกแบบกระเป๋าเงินและปัจจัยมนุษย์

เหตุการณ์นี้ตั้งคำถามเกี่ยวกับตัวเลือก UX ของกระเป๋าเงิน ที่อยู่ที่ถูกตัดทอนปรับปรุงความชัดเจนทางสายตาแต่ลดความปลอดภัยสำหรับผู้ใช้ที่จัดการจำนวนเงินจำนวนมาก

กระเป๋าเงินบางตัวในตอนนี้เตือนผู้ใช้เกี่ยวกับ address poisoning หรือตั้งค่าสถานะที่อยู่ที่คล้ายคลึงกับที่อยู่ที่รู้จัก บางตัวเสนอการขึ้นบัญชีรายชื่อที่อยู่ที่อนุญาต ซึ่งการโอนเงินถูกจำกัดไปยังที่อยู่ที่ได้รับการอนุมัติล่วงหน้า อย่างไรก็ตาม การนำคุณสมบัติเหล่านี้มาใช้ยังคงไม่สอดคล้องกัน

สำหรับการโอนเงินมูลค่าสูง การพึ่งพาการตรวจสอบด้วยสายตาเพียงอย่างเดียวได้รับการพิสูจน์แล้วว่าไม่เพียงพอ กรณีนี้แสดงให้เห็นว่าแม้แต่ผู้ใช้ที่มีประสบการณ์ก็สามารถตกอยู่ในรูปแบบที่คาดเดาได้ภายใต้แรงกดดันด้านเวลา

โพสต์ $50 ล้านหายไปในไม่กี่วินาที: ข้อผิดพลาดการคัดลอก-วางกระเป๋าเงินกระตุ้นการหลอกลวงที่อยู่ที่มีราคาแพงที่สุดของคริปโต ปรากฏครั้งแรกใน CryptoNinjas