Krüptokaupleja kaotab $50M USDT aadressimürgituse pettuse tõttu

Aadressi mürgitamise mehhanism

Krüptokaubitseja kaotas ühes tehingus peaaegu 50 miljonit dollarit 20. detsembril pärast seda, kui langes keeruka “aadressi mürgitamise” rünnaku ohvriks. Juhtum, kus 49 999 950 USDT-d kanti otse petise rahakotti, toob esile kasvava turvakriisi, kus kõrgtehnoloogilised vargad kasutavad ära põhiharjumusi ja kasutajaliidese piiranguid.

Vastavalt onchain uurijale Specter, üritas ohver, kes tahtis vahendeid vahetuspunktist isiklikule rahakotile liigutada, esialgu sooritada testsissetuleku 50 USDT-ga oma õiguspärasele aadressile. Seda märkas ründaja, kes koheselt genereeris võltsitud vanity-aadressi, mis vastas ohvri õiguspärase rahakoti esimesele ja viimasele neljale tähemärgile.

Loe rohkem: Krüptopettused aastal 2025: kuidas neid ära tunda ja end kaitsta

Ründaja saatis seejärel väikese koguse krüptomünte sellest võltsitud aadressist ohvrile, efektiivselt “mürgitades” kasutaja tehinguajalugu. Järgnevates X-i aruteludes väljendas Specter kahetsust, et kaupleja kaotas varad “ühe vähim tõenäolisema põhjuse tõttu nii suurele kaotusele”. Vastates kaasuurijale ZachXBT-le, kes väljendas kurbust ohvri üle, ütles Specter järgmist:

“See on täpselt põhjus, miks ma olin sõnatu, kaotades nii tohutu summa lihtsa vea tõttu. Vaid paar sekundit, et kopeerida ja kleepida aadress õigelt allikalt, mitte tehinguajaloost, oleks võinud kõike ära hoida. Jõulud rikutud.”

Kasutajaliidese viga: Ellipsid ja inimlik eksitus

Kuna enamus kaasaegseid krüptorahakotte ja blokeeringu uurijaid lühendavad pikki tähtnumbrilisi ahelaid – kuvades aadresse keskel ellipsidega (nt 0xBAF4…F8B5) – ilmus võltsitud aadress ohvri enda omaga esmapilgul identne. Seega, kui ohver soovis üle kanda ülejäänud 49 999 950 USDT, järgis ta tavalist tava: kopeeris saaja aadressi oma hiljutiste tehingute ajaloost, mitte allikast.

Kolmekümne minuti jooksul pärast mürgitamisrünnakut vahetati peaaegu 50 miljonit USDT-stabiilcoiniks DAI, enne kui need konverteeriti umbes 16,690 ETH-ks ja suunati Tornado Cash kaudu edasi. Pärast juhtunu mõistmist saatis meeleheitel ohver ründajale onchai sõnumi, pakkudes 1 miljoni dollari suurust “valge mütsi” tasu 98% varade tagastamise eest. 21. detsembri seisuga jäävad varad taastamata.

Turvaeksperdid hoiatavad, et krüpto varade uute kõrgusteni jõudmisel muutuvad need madala tehnoloogiaga, kuid kõrge tasuvusega “mürgitamispettused” üha levinumaks. Et säärast saatust vältida, kutsutakse hoidjaid alati vastuvõtva aadressi allikat otse rahakoti “Vastuvõtu” vahelehelt.

Kasutajad peaksid oma rahakotis kinnitama usaldusväärsed aadressid, et vältida manuaalseid sisestamisvigu. Samuti peaksid nad kaaluma seadmete kasutamist, mis nõuavad sihtaadressi täielikku füüsilist kinnitamist, et pakkuda kriitilist teist kontrollikihti.

KKK 💡

• Mida juhtus 20. detsembri rünnakus? Kaupmees kaotas peaaegu $50M USDT aadressi-mürgitamise pettusele.
• Kuidas pettus töötas? Ründajad võltsisid rahakoti aadressi, mis nägi lühendatud kujul välja identne.
• Kuhu varastatud krüpto liigutati? Vahendid pesti läbi DAI, konverteeriti ETH-ks ja suunati Tornado Cash kaudu.
• Kuidas saavad kauplejad end kaitsta?
  Alati kopeeri aadressid rahakoti “Vastuvõtu” vahelehelt ja kinnita usaldusväärsed kontod.