как работает мошенничество и как избежать потерь в криптовалюте (50 миллионов долларов США)

Вот прекрасный пример того, как трагически может закончиться в блокчейне стандартная процедура «копипаста», известная нам из повседневной жизни: пользователь кошелька Ethereum (адрес начинается с 0xcB80) потерял столько же, сколько 49 999 950 долларов в криптоактивах, потому что он скопировал адрес из истории транзакций — но не тот. Первый портал для анализа данных из блокчейна Lookonchain вышел на след несчастного.

Как не потерять 50 миллионов долларов за одну минуту? Урок на всю жизнь

Механизм мошенничества формально называется адресное отравление (букв. «Адресное отравление»). Это не предполагает взлома вашего кошелька или кражи вашего закрытого ключа. Он играет на привычках и на том, как интерфейсы кошельков отображают адреса.

Схема проста:

1. Жертва выполняет тестовую транзакцию (здесь: 50 долларов США) по нужному адресу, которому он доверяет.
2. Мошенник генерирует «двойной» адрес, выбранный так, чтобы он на первый взгляд выглядел одинаково — начало и конец часто совпадают (то, что обычно видно после сокращения).
3. Затем он отправляет жертве небольшой кусочек «пыли» (микротранзакцию), чтобы ее поддельный адрес появился в истории транзакций жертвы.
4. Когда через некоторое время жертва возвращается, они копируют адрес из истории — и отправляют средства мошеннику.

В описанном случае Lookonchain указал, что жертва провела проверку адреса. 0xbaf4…B6495F8b5а затем, наконец, перевел почти 50 миллионов долларов США на очень похожий адрес, начинающийся с 0xBaFF2… и заканчивая …86b08f8b5.

Вот почему эта афера такая коварная: он не взламывает криптографию — он атакует наши привычки. Кошельки часто сокращают адреса и скрывают середину знаком «…», чтобы их было легче читать. Однако именно в этой «читабельности» и создается лазейка, которую потом можно использовать в гнусных целях.

Почему «тестовая сделка» не сэкономила 50 миллионов?

В традиционной ИТ-безопасности тест имеет смысл: вы проверяете, работает ли канал и нет ли ошибок. В процессе заражения адресов тест иногда является… элементом сценария атаки.

Мошенник может публично увидеть, что жертва только что отправила тест на определенный адрес. Ему достаточно сразу «вставить» аналогичный адрес в историю транзакций, поскольку он предполагает, что жертва через некоторое время вернется и скопирует его механически, просматривая только начало и конец.

По имеющимся данным, потерпевшая сторона попыталась спасти ситуацию, опубликовав сообщение в сети и предложив 1 миллион долларов США в рамках так называемой «белой шляпы»то есть вознаграждение за возврат большей части средств, которые вор сможет оставить себе полностью легально. На данный момент ответа от мошенника нет.

Проблема растет

На сайте Chainaанализ описан известный случай 2024 года, когда жертва чуть не потеряла около 68 миллионов долларов США в криптовалюте WBTC в атаке по отравлению адреса. Этот пример был использован компанией, чтобы разобрать весь метод и показать, что за «единичным» инцидентом могут стоять целые кампании с десятками тысяч подготовленных адресов ловушек.

Важно: это не нишевый «лохотрон для новичков». Отравление адресов нацелено на людей и организации, которые осуществляют крупные переводы и работают с историей транзакций как с «адресной книгой», но это не означает, что мы, как «ритейлеры», в безопасности.

Как защитить себя?

Самое главное правило звучит скучно, но оно работает: не доверяйте истории транзакций как источнику адреса.

На практике:

• Подтвердить весь адрес получатель перед финальным «Отправить» (не только первый и последний символы).
• Если вы отправляете большие суммы, используйте белые списки/книги доверенных адресов и временные блокировки (если инструмент их предлагает).
• Рассмотрим домен ЭНС (там, где это имеет оперативный смысл), поскольку снижает риск ошибок в длинных строках символов, но помните, что ENS также требует проверки владельца имени и его истории.
• Относитесь к «странным» микроплатежам как к предупреждающему сигналу: если вы вдруг увидите в своей истории небольшие суммы с неизвестных адресов «с похожим окончанием», считайте, что это попытка отравления.