Pedagang Kripto Kehilangan $50M dalam USDT kepada Penipuan Keracunan Alamat

Mekanisme Address Poisoning

Seorang pedagang mata wang kripto kehilangan hampir $50 juta dalam satu transaksi pada 20 Disember setelah menjadi mangsa serangan “address poisoning” yang canggih. Kejadian itu, yang menyaksikan 49,999,950 USDT dipindahkan secara langsung ke dompet penipu, menonjolkan krisis keselamatan yang semakin meningkat di mana pencuri berteknologi tinggi mengeksploitasi tabiat asas manusia dan had antara muka pengguna.

Menurut penyiasat onchain Specter, mangsa, dalam usaha memindahkan dana dari bursa kepada dompet peribadi, pada awalnya melakukan transaksi ujian sebanyak 50 USDT ke alamat sahnya. Ini dikesan oleh penyerang, yang segera menjana alamat vanity “spoofed” yang sepadan dengan empat aksara pertama dan terakhir dompet sah mangsa.

Baca lebih lanjut: Penipuan Kripto pada 2025: Bagaimana Mengenalinya dan Melindungi Diri Anda

Penyerang kemudian menghantar sejumlah kecil kripto dari alamat palsu ini kepada mangsa, secara efektif “meracuni” sejarah transaksi pengguna. Dalam perbincangan yang diadakan di X, Specter menyayangkan fakta bahawa seorang pedagang telah kehilangan dana kepada “salah satu punca paling tidak mungkin bagi kerugian besar seperti itu.” Menjawab kepada penyiasat rakan ZachXBT, yang menyatakan kesedihan untuk mangsa, Specter mengatakan:

“Inilah sebab mengapa saya terdiam, kehilangan jumlah yang begitu besar hanya kerana kesalahan mudah. Hanya beberapa saat untuk menyalin dan menyisipkan alamat dari sumber yang betul dan bukannya sejarah transaksi boleh mengelakkan semua ini. Krismas yang rosak.”

Kelemahan UI: Elips dan Kesalahan Manusia

Oleh kerana kebanyakan dompet kripto moden dan penjelajah blok memendekkan rentetan alfanumerik panjang—menampilkan alamat dengan elips di tengah (contohnya, 0xBAF4…F8B5)—alamat palsu itu kelihatan sama kepada mangsa pada pandangan pertama. Oleh itu, apabila mangsa meneruskan pemindahan baki 49,999,950 USDT, mereka mengikuti amalan biasa: menyalin alamat penerima dari sejarah transaksi terkini dan bukannya sumber.

Dalam masa 30 minit dari serangan poisoning, hampir $50 juta dalam USDT telah ditukar kepada stablecoin DAI sebelum ditukarkan kepada kira-kira 16,690 ETH dan disalurkan melalui Tornado Cash. Selepas menyedari apa yang berlaku, mangsa yang terdesak menghantar mesej onchain kepada penyerang, menawarkan ganjaran white-hat $1 juta untuk mengembalikan 98% dana tersebut. Setakat 21 Disember, aset tersebut masih belum dipulihkan.

Pakar keselamatan memberi amaran bahawa apabila aset kripto mencapai tahap tertinggi baru, penipuan “poisoning” berteknologi rendah dan berpulangan tinggi ini semakin meluas. Untuk mengelakkan nasib yang sama, pemegang dana dinasihatkan agar sentiasa mendapatkan alamat penerima secara langsung dari tab “Terima” dompet.

Pengguna hendaklah menyenaraikan alamat yang dipercayai dalam dompet mereka untuk mencegah kesalahan kemasukan manual. Mereka juga harus mempertimbangkan untuk menggunakan peranti yang memerlukan pengesahan fizikal alamat destinasi penuh untuk memberikan lapisan semakan kedua yang kritikal.

Soalan Lazim 💡

• Apa yang berlaku dalam serangan 20 Disember? Seorang pedagang kehilangan hampir $50M USDT kepada penipuan address‑poisoning.
• Bagaimana penipuan itu berfungsi? Penyerang membuat alamat dompet yang tampak sama dalam bentuk dipendekkan.
• Ke mana kripto yang dicuri dipindahkan? Dana dibasuh melalui DAI, ditukar kepada ETH, dan disalurkan melalui Tornado Cash.
• Bagaimana pedagang boleh melindungi diri mereka?Sentiasa salin alamat dari tab “Terima” dompet dan sertakan akaun yang dipercayai dalam senarai putih.