Trgovec je izgubil skoraj 50 milijonov USDT, potem ko je postal žrtev prevare z “zastrupitvijo naslovov”. Napadalec je ponaredil naslov denarnice, ki je izgledal identično kot žrtvin, kar ga je prevaralo, da ga je kopiral iz zgodovine transakcij.
Crypto trgovec izgubi 50 milijonov USDT zaradi goljufije s zastrupitvijo naslova
NAPISAL
DELI
Mehanika zastrupitve naslovov
Kriptopravi trgovec je 20. decembra izgubil skoraj 50 milijonov USD v eni sami transakciji, potem ko je postal žrtev sofisticiranega napada z “zastrupitvijo naslovov”. Incident, pri katerem je bilo 49.999.950 USDT prenesenih neposredno v denarnico prevaranta, poudarja naraščajočo varnostno krizo, v kateri visoko tehnološki tatovi izkoriščajo osnovne človeške navade in omejitve uporabniškega vmesnika.
Po navedbah onchain preiskovalca Specter-ja, je žrtev, ki je poskusila premakniti sredstva z menjalnice v osebno denarnico, najprej izvedla testno transakcijo v vrednosti 50 USDT na svoj legitimen naslov. To je zaznal napadalec, ki je takoj ustvaril “ponarejen” naslov, ki se je ujemal s prvimi in zadnjimi štirimi znaki žrtvine legitimne denarnice.
Preberite več: Kripto prevare v letu 2025: Kako jih prepoznati in se zaščititi
Napadalec je nato iz tega lažnega naslova poslal zanemarljivo količino kripta žrtvi, s čimer je učinkovito “zastrupil” zgodovino transakcij uporabnika. V razpravi, ki je sledila na X-u, je Specter obžaloval dejstvo, da je trgovec izgubil sredstva zaradi “enega izmed najmanj verjetnih vzrokov za takšno ogromno izgubo.” Ko je odgovoril na komentar kolega preiskovalca ZachXBT, ki je izrazil žalost za žrtev, je Specter rekel:
“Točno to je razlog, zakaj sem ostal brez besed, izgubiti tako ogromen znesek zaradi preproste napake. Le nekaj sekund, da bi kopirali in prilepili naslov iz pravilnega vira namesto iz zgodovine transakcij, bi lahko preprečilo vse. Božič je uničen.”
Pomanjkljivost UI: Elipse in človeška napaka
Ker večina sodobnih kripto denarnic in pregledovalnikov blokov skrajša dolge alfanumerične nize — prikazovanje naslovov z elipsami na sredini (npr. 0xBAF4…F8B5) — se je ponarejeni naslov na prvi pogled zdel enak žrtvinemu. Zato, ko je žrtev nadaljevala s prenosom preostalih 49.999.950 USDT, je sledila pogosti praksi: kopiranju prejemnikovega naslova iz njihove nedavne zgodovine transakcij namesto iz vira.
V roku 30 minut po napadu z zastrupitvijo je bilo skoraj 50 milijonov USDT zamenjanih za stabilni kovanec DAI, preden so bili pretvorjeni v približno 16.690 ETH in speljani skozi Tornado Cash. Po zavedanju, kaj se je zgodilo, je obupana žrtev poslala sporočilo na verigi napadalcu, ponujajoč belo-kapni nagrado v višini 1 milijona USD za vrnitev 98% sredstev. Do 21. decembra sredstva ostajajo neizterjana.
Varnostni strokovnjaki opozarjajo, da ko kripto sredstva dosežejo nove vrhunce, te nizkotehnološke, a donosne prevare z “zastrupitvijo” postajajo vse pogostejše. Da bi se izognili podobnim usodam, se imetnikom priporoča, da vedno pridobijo prejemnikov naslov neposredno iz zavihka “Prejem” denarnice.
Uporabniki naj na svoje denarnice vključijo zaupane naslove, da preprečijo napake pri ročnem vnosu. Prav tako naj razmislijo o uporabi naprav, ki zahtevajo fizično potrditev celotnega ciljanega naslova, da zagotovi kritični drugi sloj preglednosti.
Pogosta vprašanja 💡
- Kaj se je zgodilo v napadu 20. decembra? Trgovec je izgubil skoraj 50 milijonov USDT zaradi prevare z zastrupitvijo naslovov.
- Kako je prevara delovala? Napadalci so ponaredili naslov denarnice, ki se je zdi enak v skrajšani obliki.
- Kje so bili premaknjeni ukradeni kripto-sredstva? Sredstva so bila oprana skozi DAI, pretvorjena v ETH in prepeljana prek Tornado Cash.
- Kako se lahko trgovci zaščitijo?
Vedno kopirajte naslove iz zavihka “Prejem” denarnice in vključite vire z zaupanja vrednimi računi.
