Inwestor stracił 50 milionów dolarów w kryptowalutach z powodu pojedynczej literówki: na co wszyscy powinni zwrócić uwagę

W rynku kryptowalut doszło do uderzającego incydentu, który pokazuje, jak niszczycielskie mogą być ataki typu address poisoning. Jeden z użytkowników stracił około 50 milionów dolarów w USDT z powodu drobnego błędu podczas operacji kopiuj-wklej.

W tym incydencie adres ofiary (0xcB80) wykonał testowy przelew 50 USDT, co jest powszechną praktyką bezpieczeństwa przed faktycznym transferem 50 milionów USDT. Ten testowy przelew został wysłany na własny adres portfela ofiary. Jednak natychmiast po tej transakcji interweniowali atakujący. Oszust utworzył fałszywy adres portfela z tymi samymi pierwszymi i ostatnimi czterema znakami co adres ofiary i uczynił go widocznym na blockchainie.

Fakt, że wiele aplikacji portfelowych ukrywa środkową część adresów za pomocą „...”, odegrał kluczową rolę w powodzeniu ataku. Ponieważ większość użytkowników sprawdzając adres patrzy tylko na początkowe i końcowe znaki, ofiara nieświadomie skopiowała fałszywy adres z historii transakcji podczas transferu pozostałych 49 999 950 USDT. W rezultacie ogromna kwota została wysłana bezpośrednio do portfela oszusta.

Dane on-chain pokazują, że skradzione środki zostały szybko wyprane przez Tornado Cash, co sprawia, że szanse na odzyskanie są praktycznie zerowe.

Eksperci podkreślają, że ten incydent jest niezwykle bolesną, ale pouczającą lekcją dla użytkowników kryptowalut. Poleganie na historii transakcji podczas kopiowania adresów niesie poważne ryzyko, zwłaszcza przy transferach o dużej wartości. Zaleca się ręczne sprawdzanie całego adresu przed każdym przelewem, korzystanie z książki adresowej (białej listy) jeśli to możliwe oraz unikanie wysyłania dużych kwot za jednym razem.