Inwestor stracił 50 milionów dolarów po tym, jak padł ofiarą techniki „zatrucia adresu”. Co się stało i jak uchronić się przed tym zagrożeniem?
Inwestor traci dziesiątki milionów dolarów w wyniku ataku
Firma analityczna Lookonchain poinformowała w tym tygodniu o bardzo poważnej stracie poniesionej przez inwestora kryptowalutowego. Ofiara chciała przelać 50 milionów USDT i najpierw przelała 50 USDT na swój własny adres portfela, aby go przetestować.
Po pomyślnym przeprowadzeniu tej pierwszej transakcji wysłała kwotę 50 milionów dolarów na adres, który uważała za ten sam… Tyle że w międzyczasie wkroczył haker. Wykorzystał on technikę „address poisoning”, aby ukraść środki.
Ten rodzaj „zatrucia” jest prosty: polega na wysłaniu ofierze niewielkiej kwoty poprzez utworzenie adresu, którego pierwsze i ostatnie znaki są podobne do jej adresu. Celem jest to, aby osoba ta nie sprawdzała całego adresu, a jedynie skopiowała go z historii transakcji.
50 milionów dolarów skradzionych, środki wyprane
Według Lookonchain tak właśnie wyglądała ta sytuacja:
Ponieważ wiele portfeli ukrywa środkową część adresu za pomocą znaków „…”, aby poprawić interfejs użytkownika, wielu użytkowników często kopiuje adres z historii transakcji i zazwyczaj sprawdza jedynie pierwsze i ostatnie znaki.
Fałszywy adres obok adresu ofiary
W rezultacie: 50 milionów USDC zniknęło. Ofiara, która chciała wypłacić swoje środki z Binance, w rzeczywistości wysłała je na sfałszowany adres.
Według informacji udostępnionych przez SlowMist oszust następnie szybko wyprał środki. Najpierw wymienił USDT na DAI za pośrednictwem MetaMask Swap, a następnie zamienił całość na ETH. Ostatecznie wysłał te ostatnie do mixera kryptowalut Tornado Cash.
Propozycja ugody z oszustem
W rezultacie pierwotny posiadacz USDC stracił dziesiątki milionów dolarów w ciągu kilku minut. Następnie zamieścił wiadomość „on-chain”, aby zaproponować porozumienie osobie, która ukradła jego kryptowaluty:
Złożyliśmy oficjalne zawiadomienie o popełnieniu przestępstwa. Z pomocą organów ścigania, agencji ds. cyberbezpieczeństwa oraz kilku protokołów blockchain zgromadziliśmy już istotne i przydatne informacje dotyczące Państwa działań.
Proponuje on hakerowi zatrzymanie miliona dolarów i zwrot większości kwoty. W zamian za to pierwotny właściciel zobowiązuje się nie wnosić oskarżenia:
To jest Państwa ostatnia szansa na polubowne rozwiązanie tej sprawy. Niniejszym żądamy zwrotu 98% skradzionych aktywów na poniższy adres w ciągu 48 godzin. Mogą Państwo zatrzymać 1 000 000 USD jako premię „white hat” za wykrycie luki w zabezpieczeniach.
Na chwilę obecną środki nie zostały zwrócone. Jest to kolejny sygnał, że należy zachować czujność w przypadku adresów kopiowanych podczas transferów środków. Zaleca się, aby nigdy nie kopiować adresów z eksploratora łańcucha bloków i zawsze dokładnie sprawdzać całe adresy.
