Obchodník stratil takmer 50 miliónov USDT po tom, čo sa stal obeťou podvodu “adresného otravovania”. Útočník sfalšoval adresu peňaženky, ktorá vyzerala identicky ako obeťina, čím ho oklamal a prinútil ho okopírovať ju z histórie jeho transakcií.
Krypto obchodník príde o 50 miliónov USD v USDT kvôli scam s otravou adresy
NAPÍSAL
ZDIEĽAŤ
Mechanizmus adresného otravovania
Cryptomenový obchodník stratil takmer 50 miliónov v jedinej transakcii 20. decembra po tom, čo sa stal obeťou sofistikovaného útoku “adresného otravovania”. Incident, pri ktorom bolo 49,999,950 USDT prenesených priamo do peňaženky podvodníka, zdôrazňuje rastúcu krízovú bezpečnostnú situáciu, kde high-tech zlodeji využívajú základné ľudské zvyky a obmedzenia užívateľského rozhrania.
Podľa onchain vyšetrovateľa Spectera sa obeť, pokúšajúc sa presunúť financie z burzy do osobnej peňaženky, spočiatku vykonala testovaciu transakciu 50 USDT na svoju legitímnu adresu. To bolo zachytené útočníkom, ktorý okamžite vygeneroval sfalšovanú “vaničkovú” adresu, ktorá zodpovedala prvej a poslednej štvorke znakov legitímnej peňaženky obete.
Čítajte viac: Kryptoscamy v roku 2025: Ako ich rozpoznať a chrániť sa pred nimi
Útočník následne odoslal nevýznamné množstvo kryptomeny z tejto falošnej adresy na obeť, čím efektívne “otrávil” históriu užívateľských transakcií. V diskusii, ktorá nasledovala na X, Specter vyjadril ľútosť nad tým, že obchodník prišiel o financie kvôli “jednému z najmenej pravdepodobných dôvodov tak veľkej straty.” V odpovedi kolegovi vyšetrovateľovi ZachXBT, ktorý prejavil súcit obeťou, Specter povedal:
“Toto je presne dôvod, prečo som bol bez slov, stratiť tak masívnu sumu kvôli jednoduchej chybe. Len niekoľko sekúnd na skopírovanie a vloženie adresy zo správneho zdroja namiesto histórie transakcií mohlo zabrániť všetkému. Vianocé sú pokazené.”
Chyba UI: Elipsy a ľudská chyba
Keďže väčšina moderných kryptomenových peňaženiek a blokových prehliadačov skráti dlhé alfanumerické reťazce – prezentujúc adresy s elipsami v strede (napr. 0xBAF4…F8B5) – sfalšovaná adresa sa na pohľad javila totožná s používateľovou vlastnou. Preto keď obeť pristúpila k preneseniu zvyšných 49,999,950 USDT, nasledovala bežnú prax: skopírovala adresu príjemcu z nedávnej histórie transakcií namiesto zo zdroja.
Do 30 minút od otrávenia prenose takmer 50 miliónov USDT bolo vymenené za stablecoin DAI pred tým, než bol konvertovaný na približne 16,690 ETH a presunutý cez Tornado Cash. Po uvedomení si, čo sa stalo, zúfalá obeť odoslali onchain správu útočníkovi, ponúkajúc odmenu milión dolárov za navrátenie 98% prostriedkov. K 21. decembru zostávajú aktíva nedotknuté.
Bezpečnostní experti varujú, že ako kryptomenové aktíva dosahujú nové maximá, tieto low-tech, high-reward “otravné” podvody sa stávajú čoraz bežnejšími. Aby sa zabránilo podobným osudom, držitelia sa nabádajú vždy získať prijímaciu adresu priamo z karty “Prijať” v peňaženke.
Používatelia by mali na bielej listine mať dôveryhodné adresy vo svojich peňaženkách, aby sa predišlo chybám pri manuálnom zadávaní. Mali by tiež zvážiť používanie zariadení, ktoré vyžadujú fyzické potvrdenie plnej adresy destinácie, aby poskytli potrebnú druhú vrstvu kontroly.
FAQ 💡
- Čo sa stalo v útoku 20. decembra? Obchodník stratil takmer 50M USDT kvôli podvodu “adresného otravovania”.
- Ako podvod fungoval? Útočníci sfalšovali adresu peňaženky, ktorá vyzerala identicky v skrátenej forme.
- Kde skončili ukradnuté kryptomeny? Prostriedky boli prepierané cez DAI, konvertované na ETH a presunuté cez Tornado Cash.
- Ako sa môžu obchodníci chrániť? Vždy kopírujte adresy z karty “Prijať” v peňaženke a umiestnite dôveryhodné účty na bielu listinu.
