Een investeerder heeft 50 miljoen dollar verloren nadat hij het slachtoffer werd van een ‘address poisoning’-techniek. Wat is er gebeurd en hoe kunt u zich tegen dit risico beschermen?
Investeerder verliest tientallen miljoenen dollars bij een aanval
Analysebedrijf Lookonchain meldt deze week een zeer groot verlies van een investeerder in cryptovaluta. Het slachtoffer wilde 50 miljoen USDT overmaken en maakte eerst 50 USDT over naar zijn eigen walletadres om dit te testen.
Nadat deze eerste overboeking was geslaagd, stuurde hij het bedrag van 50 miljoen dollar naar wat hij dacht dat hetzelfde adres was… Maar een hacker had zich ermee bemoeid. Deze laatste gebruikte namelijk de techniek van “address poisoning” om het geld te stelen.
Dit soort ‘vergiftiging’ is eenvoudig: het bestaat uit het sturen van een klein bedrag naar het slachtoffer door een adres aan te maken waarvan de eerste en laatste tekens lijken op die van het slachtoffer. Het doel is dat de persoon niet het hele adres controleert en gewoon het adres uit zijn transactiegeschiedenis kopieert.
50 miljoen dollar gestolen, het geld witgewassen
Volgens Lookonchain is dit wat er hier is gebeurd:
Aangezien veel portefeuilles het centrale deel van het adres verbergen met “…” om de gebruikersinterface te verbeteren, kopiëren veel gebruikers vaak het adres uit de transactiegeschiedenis en controleren ze meestal alleen de eerste en laatste tekens.
Resultaat: 50 miljoen USDC verdween. Het slachtoffer, dat zijn geld van Binance wilde opnemen, stuurde het in werkelijkheid naar het vervalste adres.
Volgens informatie van SlowMist heeft de oplichter het geld vervolgens snel witgewassen. Eerst door de USDT via MetaMask Swap om te wisselen voor DAI, en vervolgens door alles om te wisselen voor ETH. Uiteindelijk heeft hij deze naar de cryptocurrency-mixer Tornado Cash gestuurd.
Een voorstel voor een overeenkomst met de oplichter
Het resultaat: de oorspronkelijke houder van de USDC verloor in enkele minuten tijd tientallen miljoenen dollars. Naar aanleiding hiervan plaatste hij een “on-chain”-bericht om een overeenkomst voor te stellen aan de persoon die zijn cryptovaluta had gestolen:
We hebben officieel een strafrechtelijke klacht ingediend. Met de hulp van wetshandhavingsinstanties, cyberbeveiligingsagentschappen en verschillende blockchainprotocollen hebben we al substantiële en bruikbare informatie over uw activiteiten verzameld.
Hij stelt de hacker voor om een miljoen dollar te behouden en het grootste deel van het bedrag terug te geven. In ruil daarvoor verbindt de oorspronkelijke houder zich ertoe geen vervolging in te stellen:
Dit is uw laatste kans om deze zaak op een minnelijke manier op te lossen. Hierbij wordt u verzocht om binnen 48 uur 98% van de gestolen activa terug te storten op het onderstaande adres. U mag 1.000.000 USD behouden als “white hat”-premie voor het identificeren van de kwetsbaarheid.
Op dit moment zijn de fondsen nog niet teruggestort. Dit is opnieuw een teken dat men waakzaam moet zijn bij het kopiëren van adressen bij geldtransfers. We raden aan om nooit adressen te kopiëren vanuit een blockchain-verkenner en altijd de volledige adressen zorgvuldig te controleren.
