Фатальна помилка на $50 млн: криптокористувач став жертвою схеми «отруєння адреси»

Один із великих власників криптовалюти втратив астрономічну суму в стейблкоїнах USDT через власну неуважність. Зловмисники використали метод соціальної інженерії, відомий як «отруєння адреси», змусивши жертву власноруч переказати їм кошти. Про це повідомляє CoinDesk. Деталі

Власник гаманця спочатку відправив тестову транзакцію на суму $50, щоб переконатися у правильності адреси отримувача. Це стандартна практика безпеки при переказі великих сум.

Однак шахраї, які моніторили мережу, миттєво відреагували на цю дію. Протягом лічених хвилин вони створили криптовалютний гаманець, адреса якого візуально нагадувала адресу справжнього отримувача (збігалися перші та останні символи). Після цього хакери надіслали на гаманець жертви мікротранзакцію, щоб їхня фейкова адреса з'явилася в історії операцій користувача.

Ціна одного кліку

Коли користувач вирішив переказати основну суму — $49 999 950 в USDT — він припустився фатальної помилки. Замість того, щоб скопіювати адресу з надійного джерела, він просто скопіював її з історії останніх транзакцій у своєму гаманці.

Через те що більшість криптогаманців для зручності скорочують довгі адреси, показуючи лише початок і кінець (наприклад, 0×123…ABC), жертва не помітила підміни. Кошти пішли на гаманець шахрая.

Ультиматум та спроба повернути гроші

За даними блокчейн-аналітиків, викрадені кошти були швидко конвертовані в ефір (ETH) і пропущені через міксер Tornado Cash — сервіс, який дозволяє заплутати сліди транзакцій і який перебуває під санкціями США.

Постраждалий користувач надіслав хакеру повідомлення безпосередньо в блокчейні. Він висунув ультиматум: повернути 98% коштів протягом 48 годин. Пропозиція: Жертва дозволяє залишити хакеру $1 млн як винагороду за виявлення вразливості.

Погроза: У разі відмови постраждалий обіцяє залучити міжнародні правоохоронні органи та розпочати кримінальне переслідування. Чому гаманці скорочують адреси

Адреса в мережі Ethereum або сумісних мережах (де і ходять USDT) складається з 42 шістнадцяткових символів. Це довгий рядок, який неможливо запам'ятати (наприклад: 0xd8dA6BF26964aF9D7eEd9e03E53415D37aA96045).

Дизайнери інтерфейсів криптогаманців (Metamask, Trust Wallet тощо) зазвичай приховують середню частину адреси, залишаючи видимими лише перші 4−5 та останні 4 символи, щоб не захаращувати екран смартфона. Шахраї використовують спеціальне програмне забезпечення, яке дозволяє за лічені хвилини підібрати адресу, що матиме ідентичний початок і кінець, як у жертви, але зовсім іншу середину. Оскільки користувач бачить лише «знайомі» цифри по краях, він впевнений, що відправляє гроші на правильний рахунок.