Nawala ang Crypto Trader ng $50M sa USDT dahil sa Address Poisoning Scam

Ang Mekanika ng Address Poisoning

Nawalan ang isang cryptocurrency trader ng halos $50 milyon sa isang solong transaksyon noong Dis. 20 matapos maging biktima ng isang sopistikadong “address poisoning” attack. Ang insidenteng ito, kung saan 49,999,950 USDT ang direktang nailipat sa wallet ng scammer, ay nagpapakita ng lumalaking krisis sa seguridad kung saan ginagamit ng mga high-tech na magnanakaw ang mga pangunahing ugali ng tao at limitasyon ng user interface.

Ayon sa onchain investigator na si Specter, ang biktima, habang sinusubukang ilipat ang mga pondo mula sa isang exchange patungo sa isang personal na wallet, ay unang nagsagawa ng test transaction ng 50 USDT sa kanyang tunay na address. Ito ay na-detect ng attacker, na agad na nag-generate ng “spoofed” vanity address na tumutugma sa unang apat at huling apat na character ng tunay na wallet ng biktima.

Basahin pa: Crypto Scams in 2025: How to Spot Them and Protect Yourself

Ang attacker pagkatapos ay nagpadala ng katiting na halaga ng crypto mula sa pekeng address na ito sa biktima, epektibong “poisoning” ang history ng transaksyon ng user. Sa isang talakayan na sinundan sa X, ikinalungkot ni Specter ang katotohanan na ang isang trader ay nawalan ng pondo sa “isa sa pinaka hindi inaasahang sanhi ng ganito kalaking kawalan.” Bilang tugon kay fellow investigator ZachXBT, na nagpahayag ng paghinagpis para sa biktima, sinabi ni Specter sinabi :

“Ito ang saktong dahilan kung bakit ako napaiyak, ang pagkawala ng ganito kalaking halaga dahil lamang sa isang simpleng pagkakamali. Ilang segundo lang sana para kopyahin at idikit ang address mula sa tamang pinagmulan sa halip na mula sa kasaysayan ng transaksyon ay maaaring naiwasan ang lahat. Nasira ang Pasko.”

Ang UI Flaw: Ellipses at Human Error

Dahil ang karamihan sa mga modernong crypto wallets at block explorers ay tinatalian ang mga mahabang alphanumeric string—nagpapakita ng mga address na may ellipses sa gitna (halimbawa, 0xBAF4…F8B5)—ang pekeng address ay lumitaw na magkapareho sa sariling address ng biktima sa unang tingin. Samakatuwid, nang ang biktima ay patuloy na inilipat ang natitirang 49,999,950 USDT, sinundan nila ang karaniwang gawi: kinopya ang recipient address mula sa kanilang kamakailang kasaysayan ng transaksyon sa halip na mula sa pinagmulan.

Sa loob ng 30 minuto ng poisoning attack, ang halos $50 milyon sa USDT ay napalitan ng stablecoin DAI bago ito na-convert sa humigit-kumulang 16,690 ETH at naipasok sa pamamagitan ng Tornado Cash. Matapos mapagtanto ang nangyari, ang desperadong biktima ay nagpadala ng onchain message sa attacker, na nag-aalok ng $1 million white-hat bounty kapalit ng pagbabalik ng 98% ng mga pondo. Simula noong Dis. 21, ang mga asset ay hindi pa natatamo.

Nagbabala ang mga eksperto sa seguridad na habang ang mga crypto asset ay umaabot ng bagong taas, ang mga low-tech, high-reward na “poisoning” scams na ito ay nagiging mas karaniwan. Upang maiwasan ang mga parehong kapalaran, hinihikayat ang mga may-hawak na palaging kumuha ng address ng tatanggap mula direkta sa “Receive” tab ng wallet.

Dapat gawing whitelist ng mga gumagamit ang mga pinagkakatiwalaang mga address sa kanilang wallet upang maiwasan ang mga error sa manual entry. Dapat din nilang isaalang-alang ang paggamit ng mga aparato na nangangailangan ng pisikal na kumpirmasyon ng buong destinasyon ng address upang makapagbigay ng kritikal na ikalawang antas ng pagsusuri.

FAQ 💡

• Ano ang nangyari sa atake noong Dis. 20? Isang trader ang nawalan ng halos $50M USDT sa isang address‑poisoning scam.
• Paano gumana ang scam? Ang mga attackers ay nag-spoof ng isang wallet address na nagmukhang magkapareho sa truncated form.
• Saan napunta ang nanakaw na crypto? Ang mga pondo ay nilabhan sa pamamagitan ng DAI, na-convert sa ETH, at naipasok sa pamamagitan ng Tornado Cash.
• Paano mapoprotektahan ng mga trader ang kanilang sarili?
  Laging kopyahin ang mga address mula sa “Receive” tab ng wallet at gawing whitelist ang mga pinagkakatiwalaang account.