Как трейдер потерял $50 млн на тестовом переводе и что он сказал хакеру
- Как работает схема "отравления адреса"
- Ультиматум хакеру: верни 98% или столкнешься с последствиями
- Уязвимость интерфейсов и человеческий фактор
- Как защитить свои активы
- Вопросы и ответы
Криптовалютный трейдер лишился $50 млн в стейблкоинах USDT из-за изощренной атаки, известной как "отравление адреса". Эксперты по блокчейн-безопасности из Scam Sniffer сообщили об инциденте 20 декабря. Атака началась после того, как жертва отправила тестовый перевод на свой же кошелек. Сумма пробной транзакции составила всего $50, но это привлекло внимание автоматизированного скрипта злоумышленника, который мгновенно сгенерировал "поддельный" адрес кошелька. В результате трейдер перевел 49 999 950 USDT прямо хакеру. В попытке вернуть капитал пострадавший отправил сообщение в сети блокчейн с ультиматумом: оставить $1 млн в качестве вознаграждения "белого хакера" и вернуть 98% похищенной суммы. Хакеру дали 48 часов на принятие решения.
Как работает схема "отравления адреса"
Трейдеры часто используют тестовые переводы как меру предосторожности. Таким образом они подтверждают правильность адреса получателя перед отправкой основной суммы. Однако это действие привлекло внимание автоматизированного скрипта злоумышленника. Программа мгновенно сгенерировала "поддельный" адрес кошелька.
Ультиматум хакеру: верни 98% или столкнешься с последствиями
В попытке вернуть капитал пострадавший отправил сообщение в сети блокчейн. Он предложил хакеру оставить себе $1 млн в качестве вознаграждения "белого хакера". Условием стал возврат 98% похищенной суммы. В сообщении также содержалось предупреждение о правовых последствиях. "Мы официально возбудили уголовное дело. При содействии правоохранительных органов, агентств кибербезопасности и нескольких блокчейн-протоколов мы уже собрали существенные и действенные данные о вашей деятельности", — говорится в тексте транзакции. Пострадавший дал злоумышленнику 48 часов на принятие решения. В противном случае он пообещал принять жесткие меры. "Если вы не выполните требование: мы передадим дело в юридические и международные правоохранительные каналы. Ваша личность будет раскрыта и передана соответствующим органам. Мы будем неустанно преследовать вас в уголовном и гражданском порядке до тех пор, пока справедливость не будет полностью восстановлена. Это не просьба. Вам дается последний шанс избежать необратимых последствий", — заявил трейдер.
Уязвимость интерфейсов и человеческий фактор
Данный инцидент подчеркивает сохраняющуюся уязвимость в дизайне цифровых кошельков. Проблема кроется не в коде блокчейна, а в способе отображения информации и поведении пользователей. Аналитики по безопасности неоднократно предупреждали о рисках сокращения длинных адресов. Разработчики делают это для удобства интерфейса. Однако такая практика создает возможность для манипуляций. Если проблема не будет решена на уровне UX/UI, злоумышленники продолжат эксплуатировать привычку пользователей проверять лишь первые и последние символы адреса.
Как защитить свои активы
Эксперты BTCC рекомендуют следующие меры предосторожности:
- Всегда проверяйте полный адрес, а не только первые и последние символы
- Используйте адресную книгу для часто используемых кошельков
- Включайте дополнительные подтверждения для крупных переводов
- Рассмотрите возможность использования аппаратных кошельков для значительных сумм
По данным CoinMarketCap, подобные атаки стали причиной потерь на сумму свыше $100 млн только в 2023 году.
Вопросы и ответы
Что такое "отравление адреса"?
Это метод мошенничества, при котором злоумышленник создает адрес, визуально похожий на адрес жертвы, чтобы обманом заставить ее отправить средства на неправильный кошелек.
Можно ли вернуть украденные криптовалюты?
Шансы невелики, но возможны, особенно если удастся идентифицировать злоумышленника или договориться с ним о возврате средств, как в данном случае.
Как проверить полный адрес кошелька?
В большинстве кошельков можно нажать на сокращенный адрес, чтобы отобразить полную версию. Всегда проверяйте каждый символ перед отправкой средств.
