Инвестор потерял 50 миллионов долларов, став жертвой атаки с использованием метода «отравления адреса». Что произошло и как защититься от подобного риска?
Инвестор потерял десятки миллионов долларов в результате атаки
Аналитическая компания Lookonchain сообщила на этой неделе о значительных убытках одного из инвесторов в криптовалюту. Жертва намеревалась перевести 50 миллионов USDT и сначала перевела 50 USDT на свой собственный адрес кошелька, чтобы проверить его работоспособность.
После успешного завершения этого первого перевода она отправила сумму в 50 миллионов долларов на адрес, который, как она полагала, был тем же самым… Однако хакер успел вмешаться. Он использовал технику «отравления адреса» (address poisoning), чтобы похитить средства.
Этот вид «отравления» прост: он заключается в отправке небольшой суммы жертве путем создания адреса, первые и последние символы которого похожи на её адрес. Цель состоит в том, чтобы человек не проверял адрес полностью, а просто скопировал его из истории транзакций.
Украдено 50 миллионов долларов, средства отмыты
Именно это и произошло в данном случае, по данным Lookonchain:
Поскольку многие кошельки скрывают центральную часть адреса символами «…» для удобства пользователя, многие пользователи часто копируют адрес из истории транзакций и обычно проверяют только первые и последние символы.
Поддельный адрес рядом с адресом жертвы
Результат: 50 миллионов USDC исчезли. Жертва, желавшая вывести свои средства с Binance, на самом деле отправила их на поддельный адрес.
Согласно информации, предоставленной SlowMist, мошенник затем быстро отмыл эти средства. Сначала он обменял USDT на DAI через MetaMask Swap, а затем обменял все на ETH. В конце концов он отправил эти средства на криптовалютный миксер Tornado Cash.
Предложение о сделке с мошенником
Результат: первоначальный владелец USDC потерял десятки миллионов долларов за считанные минуты. После этого он разместил сообщение «on-chain», чтобы предложить сделку лицу, похитившему его криптовалюту:
Мы официально подали уголовное заявление. С помощью правоохранительных органов, агентств по кибербезопасности и нескольких блокчейн-протоколов мы уже собрали существенную и полезную информацию о вашей деятельности.
Он предлагает хакеру оставить себе миллион долларов и вернуть большую часть суммы. В обмен на это первоначальный владелец обязуется не возбуждать уголовное дело:
Это ваш последний шанс урегулировать данный вопрос по-дружески. Настоящим от вас требуется вернуть 98 % похищенных активов на указанный ниже адрес в течение 48 часов. Вам разрешается оставить себе 1 000 000 долларов США в качестве премии «белой шляпы» за выявление уязвимости.
На данный момент средства не возвращены. Это еще один повод для бдительности при копировании адресов при переводе средств. Рекомендуется никогда не копировать адреса из блокчейн-браузера и всегда тщательно проверять адреса целиком.
