Een belegger is 50 miljoen dollar kwijtgeraakt nadat hij het slachtoffer werd van een techniek die „adresvergiftiging” wordt genoemd. Wat is er gebeurd en hoe kunt u zich tegen dit risico beschermen?
Een investeerder verliest tientallen miljoenen dollars bij een aanval
Het analysebedrijf Lookonchain meldt deze week een zeer groot verlies van een investeerder in cryptovaluta. Het slachtoffer wilde 50 miljoen USDT overmaken en maakte eerst 50 USDT over naar zijn eigen walletadres, om dit te testen.
Nadat deze eerste overboeking was gelukt, stuurde hij het bedrag van 50 miljoen dollar naar wat hij dacht dat hetzelfde adres was… Maar een hacker was hem voor geweest. Deze had namelijk de techniek van ‘address poisoning’ gebruikt om het geld te stelen.
Dit soort ‘vergiftiging’ is eenvoudig: het bestaat uit het sturen van een klein bedrag naar het slachtoffer door een adres aan te maken waarvan de eerste en laatste tekens op die van het slachtoffer lijken. Het doel is dat de persoon het adres niet volledig controleert en zich tevreden stelt met het kopiëren van het adres uit zijn transactiegeschiedenis.
50 miljoen dollar gestolen, het geld witgewassen
Dit is wat er volgens Lookonchain is gebeurd:
Aangezien veel wallets het middelste deel van het adres verbergen met « … » om de gebruikersinterface te verbeteren, kopiëren veel gebruikers het adres vaak uit de transactiegeschiedenis en controleren ze doorgaans alleen de eerste en laatste tekens.
Het valse adres naast dat van het slachtoffer
Resultaat: 50 miljoen USDC zijn in rook opgegaan. Het slachtoffer, dat zijn geld van Binance wilde opnemen, heeft het in werkelijkheid naar het vervalste adres gestuurd.
Volgens informatie van SlowMist heeft de oplichter het geld vervolgens snel witgewassen. Eerst door de USDT via MetaMask Swap in te wisselen voor DAI, en daarna door alles in te wisselen voor ETH. Uiteindelijk heeft hij deze naar de cryptomixer Tornado Cash gestuurd.
Een voorstel voor een schikking met de oplichter
Het resultaat: de oorspronkelijke houder van de USDC verloor binnen enkele minuten tientallen miljoenen dollars. Naar aanleiding hiervan plaatste hij een bericht “on-chain” om een schikking voor te stellen aan de persoon die zijn cryptovaluta had gestolen:
Wij hebben officieel aangifte gedaan. Met de hulp van wetshandhavingsinstanties, cyberbeveiligingsinstanties en verschillende blockchain-protocollen hebben we inmiddels substantiële en bruikbare informatie over uw activiteiten verzameld.
Hij stelt de hacker voor om een miljoen dollar te behouden en het grootste deel van het bedrag terug te geven. In ruil daarvoor verbindt de oorspronkelijke eigenaar zich ertoe geen vervolging in te stellen:
Dit is uw laatste kans om deze zaak in der minne te schikken. Hierbij wordt u verzocht om 98 % van de gestolen activa binnen 48 uur terug te storten naar het onderstaande adres. U mag 1.000.000 USD behouden als ‘white hat’-beloning voor het opsporen van de kwetsbaarheid.
Tot nu toe is het geld nog niet teruggegeven. Dit is opnieuw een teken dat men waakzaam moet zijn bij het kopiëren van adressen tijdens geldoverboekingen. Wij raden aan om nooit een adres uit een blockchain-explorer te kopiëren en altijd de volledige adressen zorgvuldig te controleren.
