Jeden z traderów kryptowalutowych stracił niemal 50 milionów dolarów w jednej transakcji 20 grudnia, stając się ofiarą złożonego ataku typu „address poisoning”. W tym incydencie 49,999,950 USDT zostało bezpośrednio przelane do portfela oszusta, co podkreśla narastający kryzys bezpieczeństwa, w którym zaawansowani technologicznie złodzieje wykorzystują podstawowe ludzkie nawyki oraz ograniczenia interfejsów użytkownika.
Zgodnie z informacjami on-chain od śledczego Specter, ofiara podczas próby przeniesienia środków z giełdy do własnego portfela, najpierw wykonała testową transakcję na 50 USDT na swój prawidłowy adres. Działanie to zostało zauważone przez atakującego, który natychmiast wygenerował „fałszywy” spersonalizowany adres, którego pierwsze cztery i ostatnie cztery znaki były identyczne z prawdziwym portfelem ofiary.
Czytaj więcej: Oszustwa kryptowalutowe w 2025 roku: jak je rozpoznać i chronić się przed nimi
Atakujący następnie przesłał z tego fałszywego adresu niewielką ilość kryptowaluty do ofiary, skutecznie „zatruwając” historię transakcji użytkownika. W dalszej dyskusji Specter wyraził żal z powodu tego, że trader stracił środki z „najmniej prawdopodobnego powodu, który mógłby doprowadzić do tak ogromnej straty”. W odpowiedzi do innego śledczego, ZachXBT, który wyraził współczucie dla ofiary, Specter powiedział:
„Właśnie dlatego brakuje mi słów – tak ogromna strata z powodu prostego błędu. Wystarczyło poświęcić kilka sekund, by skopiować i wkleić adres z właściwego źródła, a nie z historii transakcji, i można było tego uniknąć. Święta Bożego Narodzenia zostały zrujnowane.”
Ponieważ większość nowoczesnych portfeli kryptowalutowych i eksploratorów bloków skraca długie ciągi alfanumeryczne – wyświetlając wielokropek pośrodku (np. 0xBAF4…F8B5) – fałszywy adres wyglądał na pierwszy rzut oka identycznie jak adres ofiary. W rezultacie, gdy ofiara przelała pozostałe 49,999,950 USDT, postąpiła zgodnie z powszechną praktyką: skopiowała adres odbiorcy z ostatniej historii transakcji, zamiast pobrać go ze źródła.
W ciągu 30 minut od ataku typu poisoning, niemal 50 milionów USDT zostało wymienione na stablecoina DAI, a następnie przekonwertowane na około 16,690 ETH i wyprane przez Tornado Cash. Po zorientowaniu się, co się stało, zdesperowana ofiara wysłała do atakującego wiadomość on-chain, oferując 1 milion dolarów nagrody white-hat w zamian za zwrot 98% środków. Na dzień 21 grudnia aktywa te nie zostały odzyskane.
Eksperci ds. bezpieczeństwa ostrzegają, że wraz ze wzrostem wartości aktywów kryptowalutowych, te niskotechnologiczne, wysokodochodowe oszustwa typu „poisoning” stają się coraz powszechniejsze. Aby uniknąć podobnego losu, posiadacze są zachęcani do zawsze pobierania adresu odbiorczego bezpośrednio z zakładki „Odbierz” w portfelu.
Użytkownicy powinni dodać zaufane adresy do białej listy w swoim portfelu, aby zapobiec błędom podczas ręcznego wpisywania. Powinni także rozważyć korzystanie z urządzeń wymagających fizycznego potwierdzenia pełnego adresu docelowego, co zapewnia kluczową drugą warstwę weryfikacji.
- Co wydarzyło się 20 grudnia? Jeden z traderów stracił niemal 50 milionów USDT w wyniku oszustwa typu address poisoning.
- Jak działał ten scam? Atakujący podrobił adres portfela, który w skróconej formie wyglądał identycznie.
- Gdzie trafiły skradzione kryptowaluty? Środki zostały wyprane przez DAI, przekonwertowane na ETH i przesłane przez Tornado Cash.
- Jak traderzy mogą się chronić?
Zawsze kopiuj adres z zakładki „Odbierz” w portfelu i dodawaj zaufane konta do białej listy.
