#EthereumWarnsonAddressPoisoning A $50M Втрата виявляє системний збій безпеки в UX гаманця та верифікації адреси

Недавня $50 мільйон USDT атака отруєння адреси в Ethereum підкреслила одну з найбільш небезпечних вразливостей безпеки, з якою стикаються крипто-користувачі та установи. У цьому інциденті великий переказ, призначений для відомого Гаманця, був помилково надісланий на схожий Адресу, яка була "отруєна" в історії транзакцій жертви через невеликі, ретельно продумані операції з пилом. Атакуючий створив Адресу гаманця, яка має ті ж перші та останні символи, що й передбачений отримувач, використовуючи поширену практику скорочення адрес для відображення. Довіряючи скороченій формі, видимій в їхній нещодавній історії, жертва скопіювала Адресу, не перевіряючи середні символи, надіславши майже $50 мільйон до гаманця шахрая.
Отруєння адреси не є крайнім випадком. Це масштабний вектор атаки. Дослідження показують, що зловмисники можуть генерувати мільйони схожих адрес на Ethereum та інших ланцюгах, сумісних з EVM, що призводить до значних фінансових втрат і впливає на тисячі користувачів. Ці атаки експлуатують звичку гаманців приховувати середні символи адрес і впроваджувати підроблені адреси в історії транзакцій, роблячи користувачів вразливими до, здавалося б, незначних помилок з катастрофічними наслідками.
Багато популярних гаманців не можуть належним чином попереджати користувачів про підозрілі або візуально схожі адреси. Оцінка понад 50 гаманців Ethereum показала, що лише невелика частка з них реалізує ефективні попередження, залишаючи більшість користувачів вразливими до атак, які експлуатують візуальну схожість. Навіть досвідчені оператори можуть бути обмануті цим передбачуваним режимом помилки, що підкреслює, що корінна причина полягає не в недбалості користувачів, а в проектних недоліках у UX гаманців.
У недавньому випадку $50M жертва виконала початковий невеликий тестовий переказ, як рекомендовано для високовартісних транзакцій. Однак, через кілька хвилин, більший переказ пішов на зловмисну адресу, яка була вставлена у історію гаманця. Протягом тридцяти хвилин зловмисник обміняв вкрадений USDT на інші токени та перенаправив кошти через міксери, ефективно відмиваючи вкрадені активи. Це демонструє, як швидко та ефективно зловмисники можуть експлуатувати незначні слабкості UX.
Системна проблема полягає в дизайні гаманець. Більшість гаманців відображають адреси як “0x1234…ABCD,” імпліцитно навчаючи користувачів перевіряти лише видимі сегменти. Зловмисники експлуатують це, генеруючи адреси з ідентичними префіксами та суфіксами, що робить розбіжності в прихованій середній частині майже невидимими. Проблема посилюється, оскільки зловмисники використовують інструменти з прискоренням GPU для створення тисяч схожих адрес і вставляють їх у історії користувачів, перетворюючи повсякденні взаємодії з гаманцем на зброю.
Пом'якшення вимагає як змін на рівні гаманця, так і дисциплінованих операційних практик. Інтерфейси гаманців повинні за замовчуванням відображати повні адреси та надавати візуальні відмінності, що підкреслюють будь-які різниці при вставці або виборі адреси. Евристика повинна позначати близькі збіги з відомими контактами, а чіткі попередження повинні видаватися, коли використовується нова або візуально схожа адреса. Людські читабельні системи іменування, такі як Ethereum Name Service (ENS), можуть допомогти, але лише коли розв'язані адреси відображаються поруч з ім'ям і перевіряються через надійні канали.
Для користувачів з високою вартістю, DAO та керівників казначейств, оперативна дисципліна тепер є необхідною. Найкращі практики включають ручну перевірку повної адреси перед затвердженням переказів, уникнення копіювання адрес з історії гаманця, виконання тестових транзакцій з окремими підтвердженнями через безпечні канали, підтримання безпечних списків дозволених адрес та впровадження багатопідписних затверджень для значних або перших отримувачів. Розвинуті підприємства також можуть використовувати моніторинг в ланцюгу для виявлення схожих адрес або підозрілих транзакцій з дрібними сумами.
Ширший урок є яскравим: вибір UX, який віддає перевагу зручності над безпекою, створює передбачувані вектори атак у ворожих середовищах. Те, що раніше вважалося прийнятним дизайном гаманця, тепер несе серйозні ризики, особливо оскільки зловмисники стають дедалі більш витонченими, а інституційне впровадження зростає. Відображення та перевірка адреси повинні розглядатися як критично важливі елементи безпеки, а не косметичні елементи. Поки гаманці, системи іменування та операційні практики не узгодяться з цією реальністю, фішинг схожих адрес залишатиметься одним з найефективніших і руйнівних видів крадіжки в криптовалюті.