Inwestor stracił 50 milionów dolarów po tym, jak padł ofiarą techniki „address poisoning”. Co się stało i jak chronić się przed tym ryzykiem?
Inwestor traci dziesiątki milionów dolarów w wyniku ataku
Firma analityczna Lookonchain poinformowała w tym tygodniu o bardzo poważnej stracie poniesionej przez inwestora kryptowalutowego. Ofiara chciała przelać 50 milionów USDT i najpierw przelała 50 USDT na swój własny adres portfela, aby go przetestować.
Po pomyślnym wykonaniu pierwszego przelewu wysłała kwotę 50 milionów dolarów na adres, który uważała za ten sam… Tyle że haker zdążył już go przejąć. Wykorzystał on technikę „address poisoning”, aby ukraść środki.
Ten rodzaj „zatrucia” jest prosty: polega na wysłaniu ofierze niewielkiej kwoty, tworząc adres, którego pierwsze i ostatnie znaki są podobne do jej adresu. Celem jest, aby osoba ta nie sprawdzała całego adresu, a jedynie skopiowała adres z historii transakcji.
50 milionów dolarów skradzionych, środki wyprane
Według Lookonchain tak właśnie wyglądała ta sytuacja:
Ponieważ wiele portfeli ukrywa środkową część adresu za pomocą „…” w celu poprawy interfejsu użytkownika, wielu użytkowników często kopiuje adres z historii transakcji i zazwyczaj sprawdza tylko pierwsze i ostatnie znaki.
Wynik: 50 milionów USDC zniknęło. Ofiara, która chciała wypłacić swoje środki z Binance, w rzeczywistości wysłała je na sfałszowany adres.
Następnie oszust szybko wyprał środki, zgodnie z informacjami udostępnionymi przez SlowMist. Najpierw wymienił USDT na DAI za pośrednictwem MetaMask Swap, a następnie wymienił wszystko na ETH. Ostatecznie wysłał je do miksera kryptowalut Tornado Cash.
Propozycja porozumienia z oszustem
W rezultacie pierwotny posiadacz USDC stracił dziesiątki milionów dolarów w ciągu kilku minut. Następnie zamieścił wiadomość „on-chain”, proponując porozumienie z osobą, która ukradła jego kryptowaluty:
Złożyliśmy oficjalną skargę karną. Z pomocą organów ścigania, agencji ds. cyberbezpieczeństwa i kilku protokołów blockchain zebraliśmy już istotne i przydatne informacje dotyczące Twojej działalności”.
Proponuje hakerowi zatrzymanie miliona dolarów i zwrot większości kwoty. W zamian za to pierwotny właściciel zobowiązuje się nie wszczynać postępowania karnego:
To Twoja ostatnia szansa na polubowne rozwiązanie tej sprawy. Niniejszym żądamy zwrotu 98% skradzionych aktywów na poniższy adres w ciągu 48 godzin. Możesz zatrzymać 1 000 000 USD jako premię „white hat” za zidentyfikowanie luki w zabezpieczeniach.
Na razie środki nie zostały zwrócone. Jest to kolejny znak, że należy zachować czujność podczas kopiowania adresów podczas transferów środków. Zaleca się, aby nigdy nie kopiować adresów z eksploratora blockchain i zawsze dokładnie sprawdzać całe adresy.
