Atak cybernetyczny kradnie miliony jednym kliknięciem

window.litespeed_ui_events=window.litespeed_ui_events||["mouseover","click","keydown","wheel","touchmove","touchstart"];var urlCreator=window.URL||window.webkitURL;function litespeed_load_delayed_js_force(){console.log("[LiteSpeed] Start Load JS Delayed"),litespeed_ui_events.forEach(e=>{window.removeEventListener(e,litespeed_load_delayed_js_force,{passive:!0})}),document.querySelectorAll("iframe[data-litespeed-src]").forEach(e=>{e.setAttribute("src",e.getAttribute("data-litespeed-src"))}),"loading"==document.readyState?window.addEventListener("DOMContentLoaded",litespeed_load_delayed_js):litespeed_load_delayed_js()}litespeed_ui_events.forEach(e=>{window.addEventListener(e,litespeed_load_delayed_js_force,{passive:!0})});async function litespeed_load_delayed_js(){let t=[];for(var d in document.querySelectorAll('script[type="litespeed/javascript"]').forEach(e=>{t.push(e)}),t)await new Promise(e=>litespeed_load_one(t[d],e));document.dispatchEvent(new Event("DOMContentLiteSpeedLoaded")),window.dispatchEvent(new Event("DOMContentLiteSpeedLoaded"))}function litespeed_load_one(t,e){console.log("[LiteSpeed] Load ",t);var d=document.createElement("script");d.addEventListener("load",e),d.addEventListener("error",e),t.getAttributeNames().forEach(e=>{"type"!=e&&d.setAttribute("data-src"==e?"src":e,t.getAttribute(e))});let a=!(d.type="text/javascript");!d.src&&t.textContent&&(d.src=litespeed_inline2src(t.textContent),a=!0),t.after(d),t.remove(),a&&e()}function litespeed_inline2src(t){try{var d=urlCreator.createObjectURL(new Blob([t.replace(/^(?: )?$/gm,"$1")],{type:"text/javascript"}))}catch(e){d="data:text/javascript;base64,"+btoa(t.replace(/^(?: )?$/gm,"$1"))}return d} var litespeed_vary=document.cookie.replace(/(?:(?:^|.*;\s*)_lscache_vary\s*\=\s*([^;]*).*$)|^.*$/,"");litespeed_vary||fetch("/wp-content/plugins/litespeed-cache/guest.vary.php",{method:"POST",cache:"no-cache",redirect:"follow"}).then(e=>e.json()).then(e=>{console.log(e),e.hasOwnProperty("reload")&&"yes"==e.reload&&(sessionStorage.setItem("litespeed_docref",document.referrer),window.location.reload(!0))});

How the Address Poisoning Attack Occurred

W centrum tego incydentu znajduje się portfel, który był aktywny przez prawie dwa lata i był głównie wykorzystywany do transferów USDT. Po wypłacie środków z Binance, użytkownik otrzymał około 50 milionów dolarów w USDT. Uznając to za bezpieczną metodę, użytkownik najpierw wykonał mały transfer testowy. Kilka minut później dokonano głównego transferu, jednak nieświadomie użytkownik użył niewłaściwego adresu.

Zanim doszło do tego momentu, oszust już przygotował atak „address poisoning”. Stworzono portfel, którego adres był bardzo podobny do adresu często używanego przez ofiarę, i przesłano na niego minimalną ilość USDT, aby pojawił się w historii transakcji. Ponieważ adresy w interfejsie portfela wyświetlane są jako długie i złożone ciągi znaków, użytkownik przypadkowo skopiował ten fałszywy adres z historii transakcji podczas próby transferu środków, co skutkowało przesłaniem prawie 50 milionów dolarów do portfela atakującego jednym kliknięciem.

The UTXO Model Controversy and Charles Hoskinson’s Perspective

Charles Hoskinson, założyciel Cardano, zabrał głos w sprawie tego incydentu, argumentując, że taka strata jest znacznie trudniejsza do doświadczenia w niektórych architekturach blockchain. Zwrócił uwagę, że modele oparte na kontach, stosowane przez Ethereum i sieci oparte na EVM, strukturalnie umożliwiają oszustwa takie jak address poisoning. W tym modelu adresy są przechowywane jako stałe konta, a portfele często zachęcają użytkowników do kopiowania adresów z poprzednich transakcji, co jest wykorzystywane przez oszustów.

Według Hoskinsona, sieci wykorzystujące model UTXO, takie jak Bitcoin i Cardano, są pod tym względem bardziej odporne. W modelu UTXO każda transakcja generuje nowe wyjścia, konsumując stare, eliminując koncepcję stałego „salda konta”. W rezultacie nie istnieje trwała historia adresów, którą można by wizualnie zatruć. Podkreśla on, że ten incydent nie jest błędem protokołu ani smart contractu, lecz niebezpieczną interakcją pomiędzy projektem a ludzkim zachowaniem.

Podobne ryzyka zostały ostatnio podniesione także w innych raportach. W ciągu ostatnich kilku tygodni jeden z głównych dostawców portfeli wydał aktualizację bezpieczeństwa, ostrzegając użytkowników przed nawykiem kopiowania adresów oraz przebudował ekrany weryfikacji adresów. Te działania podkreślają znaczenie projektowania portfeli, obok indywidualnych środków ostrożności.