Inwestor Ethereum popełnił kosztowny błąd, przypadkowo wysyłając ponad 12 milionów dolarów wartości kryptowalut do oszukańczego portfela, co podkreśla rosnące ryzyko tzw. oszustw z zanieczyszczeniem adresu na publicznych blockchainach.
Kluczowe wnioski
Inwestor Ethereum stracił 4 556 sETH, wart około 12,4 miliona dolarów, z powodu oszustwa związanego z zanieczyszczeniem adresu.
Napastnicy użyli fałszywego portfela z dopasowanymi pierwszymi i ostatnimi znakami, aby naśladować adres depozytowy Galaxy Digital.
Kopiowanie adresów z historii transakcji pozostaje jednym z największych zagrożeń bezpieczeństwa w transferach kryptowalut.
Według firmy analitycznej blockchain Lookonchain, ofiara straciła 4,556 sETH - wycenianych na około 12,4 miliona dolarów w tamtym czasie - po skopiowaniu niewłaściwego adresu portfela podczas próby przelania środków do Galaxy Digital.
Jak rozwinął się oszustwo
Inwestor był częstym użytkownikiem adresu depozytowego Galaxy Digital i wcześniej przesyłał tam środki wielokrotnie bez problemów. Napastnicy skorzystali z tego zachowania, generując złośliwy adres „trujący”, zaprojektowany tak, aby blisko przypominał prawdziwy portfel depozytowy Galaxy Digital. Fałszywy adres miał te same pierwsze i ostatnie cztery znaki, co sprawiało, że był wizualnie przekonujący na pierwszy rzut oka.
Aby zastawić pułapkę, napastnik wielokrotnie wysyłał małe transakcje „kurzu” do portfela ofiary. Te transakcje pojawiały się w historii konta obok legalnych przelewów do Galaxy Digital. Gdy inwestor później zainicjował dużą wpłatę, skopiował adres bezpośrednio z historii transakcji, nieświadomie wybierając adres podobny do adresu napastnika zamiast prawdziwego.
W ciągu kilku sekund, środki zostały nieodwracalnie przetransferowane do fałszywego portfela.
Dlaczego zatrucie adresów jest tak niebezpieczne
Zatrucie adresów wykorzystuje powszechną nawyk wśród użytkowników kryptowalut: kopiowanie wcześniej używanych adresów z historii transakcji dla wygody. Ponieważ adresy blockchain są długie i nieczytelne, wielu użytkowników weryfikuje tylko pierwsze i ostatnie kilka znaków, na co właśnie polegają napastnicy.
Gdy transakcja zostanie potwierdzona w sieci Ethereum, nie można jej cofnąć, nawet jeśli cel jest wyraźnie oszukańczy. W tym przypadku napastnik skutecznie odszedł z milionami w jednej transakcji.
Kosztowne przypomnienie dla inwestorów kryptowalutowych
Incydent ten jest kolejnym ostrzeżeniem, że nawet doświadczeni inwestorzy są narażeni na proste błędy operacyjne. W miarę wzrostu wartości kryptowalut, oszustwa związane z zatruciem adresów stały się coraz częstsze, celując w portfele znane z obsługi dużych sum.
Eksperci ds. bezpieczeństwa konsekwentnie doradzają użytkownikom, aby dodawali do białej listy zweryfikowane adresy, podwójnie sprawdzali pełne ciągi portfeli i unikali kopiowania adresów z historii transakcji.