Криптовалютний трейдер зазнав збитків майже на $50 млн у стейблкоїнах USDT після того, як став жертвою так званого “отруєння адреси” — на перший погляд простої схеми, яка все ж іноді ловить необачних трейдерів. Атака сталася після того, як постраждалий вивів кошти з Binance і намагався перевести їх у власний гаманець.
Платформа ончейн-аналітики Lookonchain повідомила, що жертва переказала 49,999,950 USDT на адресу, контрольовану шахраєм, 20 грудня. Згідно зі стандартною практикою, жертва спочатку надіслала невелику тестову транзакцію в 50 USDT на адресу призначення. При цьому автоматизований скрипт, контрольований атакуючим, одразу згенерував «підроблену» адресу гаманця, створену так, щоб початок і кінець алфавітно-цифрового рядка збігалися з реальною адресою жертви.
Шкідлива адреса мала ті самі перші п’ять і останні чотири символи, що й адреса призначення жертви. Основні відмінності були лише у середніх символах, які багато інтерфейсів гаманців ховають трьома крапками для зручності читання. Шахрай потім надіслав невеликі транзакції з підробленої адреси на гаманець жертви, ефективно “отруївши” історію її транзакцій. Коли жертва пізніше скопіювала адресу з історії для виконання повного переказу $50 млн, вона ймовірно, не усвідомлюючи, обрала підроблену адресу шахрая. Дані Etherscan показують, що тестова транзакція відбулася о 3:06 UTC, а неправильний переказ $50 млн — приблизно 26 хвилин пізніше, о 3:32 UTC.
Атакуючий швидко почав відмивати вкрадені кошти. Протягом 30 хвилин після отримання USDT шахрай обміняв всю суму на DAI через MetaMask Swap — стратегічний крок, оскільки Tether може заморозити USDT на позначених адресах, тоді як децентралізований стейблкоїн DAI не має таких централізованих обмежень. Потім атакуючий конвертував DAI у приблизно 16,690 ETH і вніс близько 16,680 ETH у Tornado Cash, колишній санкціонований міксер криптовалют, щоб приховати слід транзакцій. У спробі повернути кошти жертва надіслала onchain-повідомлення атакуючому, пропонуючи $1 млн винагороди для білих хакерів в обмін на повернення 98% вкрадених активів.
Втрата перегукується з подібним інцидентом у травні 2024 року, коли користувач Ethereum втратив $71 млн у wrapped bitcoin у той же спосіб. Тоді жертва згодом відновила майже всі доступні кошти після onchain-переговорів за участю кібербезпекової компанії Match Systems та біржі Cryptex. Чи вдасться останній жертві досягти аналогічного результату, залишається невідомо через швидкий переказ коштів у Tornado Cash. Це одна з найбільших втрат через “отруєння адреси”, зафіксованих на даний момент, і вона додається до понад $3,4 млрд крадіжок криптовалют у цьому році.
Джерело: The Block
