Знедолена жертва втратила 50 мільйонів USDT – як шахраї вдосконалювали атаку на отруєння адреси

Історія, яка сталася 20 грудня, показує, як проста людська помилка може призвести до катастрофічних втрат. Один із трейдерів криптовалют опинився у безвихідній ситуації, втративши майже 50 мільйонів доларів через складну маніпуляцію адресою гаманця. Це попередження для всієї галузі: сучасні шахрайства не вимагають складних технологій — достатньо зрозуміти людську природу і обмеження інтерфейсів користувача.

Як насправді працював напад на гаманець трейдера

Все почалося з рутинної дії. Постраждалий хотів переказати кошти з біржі на власний гаманець і — розумно — спершу зробив тестову транзакцію 50 USDT на правильну адресу. Це виявилося фатальною помилкою, оскільки зловмисник спостерігав за кожним рухом.

За кілька хвилин шахрай створив фальшиву адресу гаманця, яка була геніальною у своїй простоті. Перші чотири та останні чотири символи збігалися з реальною адресою постраждалого. Чому це працювало? Сучасні гаманці та блокчейн-експлорери скорочують довгі алфавітно-цифрові послідовності — вони відображають їх у вигляді многоточків посередині (наприклад, 0xBAF4…F8B5). Для недосвідченого ока обидві адреси виглядали однаково.

Далі зловмисник надіслав з фальшивої адреси невелику кількість криптовалюти постраждалому, «забруднивши» історію транзакцій. Це була добре спланована пастка.

Від тесту до трагедії — втрата 50 мільйонів за 30 хвилин

Засмучена постраждала, побачивши в історії транзакцій адресу, яка виглядала довірливо, скопіювала її — замість взяти з джерела. Це був момент, що змінив її життя.

Вона переказала решту 49 999 950 USDT на підроблену адресу. За всього 30 хвилин після нападу type poisoning почалася далека подорож викрадених коштів:

• Майже 50 мільйонів USDT було обміняно на стабільну монету DAI (яка підтримує ціну на рівні $1.00)
• Потім конвертовано приблизно у 16 690 ETH (історично коштували значно більше за сьогоднішні $2.08K за монету)
• Врешті-решт активи потрапили до Tornado Cash — мікстури, що забезпечують анонімність

Експерт з блокчейну Specter прокоментував цей випадок як наразі виняткову відчайдушність: «Втрата з найменш ймовірної причини — через просту помилку. Достатньо було кілька секунд, щоб скопіювати адресу з правильного джерела». Його колега-розслідувач ZachXBT, якому співчували за постраждалого, почув у відповідь: «Різдво зруйноване».

Куди потрапили криптовалюти: шлях через DAI і Tornado Cash

Після розуміння, що сталося, засмучена постраждала надіслала у мережі повідомлення з пропозицією 1 мільйон доларів за повернення 98% коштів. Однак до 21 грудня активи не були відновлені. Вони зникли у хаосі стабільних монет і мікстури Tornado Cash, що практично неможливо простежити.

Як захиститися від poisoning адрес

Експерти з безпеки наголошують, що з ростом вартості активів криптовалют, подібні напади стають все поширенішими. Це не є загрозою майбутнього — це загроза вже зараз.

Щоб уникнути подібної долі:

• Завжди отримуйте адресу отримувача безпосередньо з вкладки «Отримати» у гаманці — ніколи з історії транзакцій
• Додавайте довірені адреси до білого списку у гаманці — це захист від звичайних помилок при ручному введенні
• Розгляньте використання апаратних гаманців, які вимагають фізичного підтвердження повної адреси — це забезпечує додатковий рівень перевірки
• Скопіюйте адресу, вставте її, а перед завершенням транзакції порівняйте кілька символів з обох кінців — навіть якщо є многоточок посередині

Історія від 20 грудня є попередженням для всієї галузі. У світі, де цифрові активи варті мільярди, шахраї не потребують складних технологій. Достатньо людських звичок і терпіння.