Одна помилка копіювання та вставлення призвела до втрати 50 мільйонів доларів США в кошельку USDT

Як шахрайство з адресним забрудненням легко краде великі суми

Інциденти з безпекою блокчейну знову нагадують користувачам бути обережними з кожною транзакцією. За даними платформи аналізу блокчейну Lookonchain, один інвестор у криптовалюту через, здавалося б, незначну помилку у операції назавжди позбувся 50 мільйонів доларів США в кошельку USDT. Ця подія глибоко висвітлює ступінь небезпеки шахрайства з адресним забрудненням (address poisoning).

Причина інциденту здається безпечним — користувач перед великим переказом провів звичайне тестування. Спершу він переказав 50 доларів США на свій кошелек USDT 0xbaf4b…95F8b5 для перевірки. Однак шахрайські групи, використовуючи особливості відображення адреси, підробили фальшиву адресу, яка починається і закінчується тими ж символами, що й справжня, але має повністю інший середній рядок.

Оскільки у браузері або інтерфейсі гаманця зазвичай видно лише перші та останні символи адреси, 50 мільйонів USDT у кінцевому підсумку були неправильно надіслані до гаманця, яким керує зловмисник. Такий “візуальний обман” повністю використовує обмеження людського сприйняття довгих рядків.

Відстеження та траєкторія переказу викрадених коштів

Дані з блокчейну показують, що цей гаманець був активним протягом останніх двох років, переважно для торгівлі USDT. Останній запис про зняття коштів із основної біржі свідчить, що користувач активно керував цим гаманцем під час інциденту.

Після отримання коштів зловмисники одразу почали їх переказ. Вони обміняли всі 50 мільйонів доларів USDT на Ethereum (ETH), за поточною ціною це приблизно 2974 долари, а потім розподілили ETH між кількома різними адресами. Частина коштів була переведена у сервіс змішування, що ускладнює їх відстеження.

Один аналітик блокчейну прокоментував: “Це жорстока реальність атак з адресним забрудненням — вона не вимагає проникнення у системні вразливості, а майстерно використовує людські звички та обмеження візуального сприйняття.”

Кілька випадків помилок з адресами у криптовалютних транзакціях

Подібні помилки з адресами не є поодинокими. У квітні цього року одна з транзакцій з Bitcoin (цифровий арт) була помилково надіслана на стандартну адресу поповнення Bitcoin на біржі, що спричинило гострі суперечки щодо відповідальності за управління коштами. Хоча офіційні рекомендації біржі полягали у відправленні звичайного Bitcoin, ця подія викликала широку критику та звинувачення у соцмережах.

Ще один приклад попередження — останнє звинувачення правоохоронних органів: прокуратура Брукліну звинуватила шахрая у тому, що він видавав себе за офіційного представника відомої криптоплатформи. За допомогою обманних комунікацій він переконав жертву у безпеці її рахунку, в результаті чого вона переказала майже 160 мільйонів доларів на його контрольований гаманець. Платформа заявила, що співпрацює з правоохоронцями для відстеження коштів і підтримки потерпілих.

Статистика викрадення криптоактивів

За даними компанії-аналітика Chainalysis, за останній рік загальна сума викрадених криптоактивів склала 3,41 мільярда доларів. З них один хакерський напад на біржу (з залученням 1,5 мільярда доларів) становив 44% від загальних збитків. Три найсерйозніші інциденти становили 69% усіх збитків крипсервісів, що свідчить про високу концентрацію великих крадіжок.

Основні рекомендації щодо захисту USDT-гаманця та інших цифрових активів

У відповідь на ці загрози безпеці користувачам слід дотримуватися таких заходів:

Обережно перевіряйте кожну деталь адреси. Перед будь-якою операцією переказу обов’язково перевіряйте повну адресу у блокчейн-оглядачі або кількох джерелах, а не лише за допомогою перших і останніх символів. Особливо важливо це для великих транзакцій.

Використовуйте малі тестові перекази. Подібно до дій жертви у цій справі — спершу відправте невелику суму для перевірки — це залишається ефективною практикою безпеки, але потрібно бути дуже обережним у процесі перевірки.

Уникайте швидкого копіювання та вставки. Зменшуйте залежність від автоматичних інструментів копіювання адрес, краще вручну перевіряйте або користуйтеся офіційною функцією адресної книги гаманця.

Увімкніть багаторівневі механізми безпеки. Використовуйте апаратні гаманці, мультипідписні гаманці або сервіси з багатоступеневою аутентифікацією для управління великими сумами.

Ці події разом показують, що технічні заходи самі по собі не здатні повністю запобігти людським помилкам — безпека користувача та його звички є останнім рубежем захисту.