Криптотрейдер втратив $50 млн через атаку “отруєння адреси” та запропонував винагороду $1 млн за повернення

Криптовалютный трейдер понес убытки почти на $50 млн в стейблкоинах USDT после того, как стал жертвой так называемого «отравления адреса» — на первый взгляд простой схемы, которая все же иногда ловит опрометчивых трейдеров. Атака произошла после того, как пострадавший вывел средства с Binance и пытался перевести их в собственный кошелек.

Платформа ончейн-аналитики Lookonchain сообщила, что жертва перевела 49,999,950 USDT на адрес, контролируемый мошенником, 20 декабря. Согласно стандартной практике, жертва сначала прислала небольшую тестовую транзакцию в 50 USDT на адрес назначения. При этом автоматизированный скрипт, контролируемый атакующим, сразу сгенерировал «поддельный» адрес кошелька, созданный так, чтобы начало и конец алфавитно-цифровой строки совпадали с реальным адресом жертвы.

Вредоносный адрес имел те же первые пять и последние четыре символа, что и адрес назначения жертвы. Основные отличия были только в средних символах, которые многие интерфейсы кошельков прячут тремя точками для удобства чтения. Мошенник потом прислал небольшие транзакции с поддельного адреса на кошелек жертвы, эффективно «отравив» историю ее транзакций. Когда жертва позже скопировала адрес из истории для выполнения полного перевода $50 млн, она вероятно, не осознавая, выбрала поддельный адрес мошенника. Данные Etherscan показывают, что тестовая транзакция состоялась в 3:06 UTC, а неправильный перевод $50 млн — примерно 26 минут позже, в 3:32 UTC.

Атакующий быстро начал отмывать украденные средства. В течение 30 минут после получения USDT мошенник обменял всю сумму на DAI через MetaMask Swap — стратегический шаг, поскольку Tether может заморозить USDT на обозначенных адресах, тогда как децентрализованный стейблкоин DAI не имеет таких централизованных ограничений. Затем атакующий конвертировал DAI в примерно 16,690 ETH и внес около 16,680 ETH в Tornado Cash, бывший санкционированный миксер криптовалют, чтобы скрыть след транзакций. В попытке вернуть средства жертва отправила onchain-сообщение атакующему, предлагая $1 млн вознаграждения для белых хакеров в обмен на возврат 98% украденных активов.

Потеря перекликается с подобным инцидентом в мае 2024 года, когда пользователь Ethereum потерял $71 млн в wrapped bitcoin тем же способом. Тогда жертва впоследствии восстановила почти все доступные средства после onchain-переговоров с участием кибербезопасной компании Match Systems и биржи Cryptex. Удастся ли последней жертве достичь аналогичного результата, остается неизвестно из-за быстрого перевода средств в Tornado Cash. Это одна из самых больших потерь из-за «отравления адреса», зафиксированных на данный момент и она добавляется к более $3,4 млрд краж криптовалют в этом году.

Источник: The Block