📅 20 Decembrie | Ecosistemul Global de Cripto
În lumea cripto, nu întotdeauna exploatările sofisticate sau defectele de cod cauzează cele mai mari pierderi. Uneori, un singur clic greșit este suficient. Un trader experimentat a pierdut aproape 50 de milioane de dolari în USDT după ce a căzut victimă uneia dintre cele mai simple și, paradoxal, cele mai eficiente escrocherii din ecosistem: atacul de otrăvire a adresei.
📖 Conform datelor de pe platforma de analiză on-chain Lookonchain, victima a transferat 49,999,950 USDT către o adresă controlată de un atacator, după ce a retras fondurile de pe Binance cu intenția de a le trimite către propriul portofel.
Procesul a început aparent în siguranță. Ca de obicei, traderul a efectuat mai întâi o tranzacție de testare de 50 USDT către adresa de destinație. Cu toate acestea, un script automatizat creat de atacator a detectat mișcarea și a generat imediat o adresă falsă concepută să arate aproape identic cu adresa legitimă.
Adresa fraudulentă a portofelului s-a potrivit cu primele cinci și ultimele patru caractere ale adresei reale. Discrepanțele se aflau în mijlocul șirului alfanumeric, o secțiune pe care multe interfețe de portofel o ascund cu puncte de suspensie, facilitând confuzia vizuală.
Ulterior, atacatorul a trimis tranzacții mici de la această adresă falsă către portofelul victimei, "întoxicând" istoricul tranzacțiilor. Când traderul s-a întors câteva minute mai târziu și a copiat o adresă din istoricul său pentru a trimite întreaga sumă, a selectat din neatenție adresa malițioasă.
Datele de la Etherscan arată că tranzacția de testare a avut loc la 3:06 UTC, în timp ce transferul eronat al sumei totale a fost executat la doar 26 de minute mai târziu, la 3:32 UTC.
Atacatorul a acționat cu o viteză extremă. Potrivit firmei de securitate SlowMist, în mai puțin de 30 de minute, USDT a fost schimbat cu DAI folosind MetaMask Swap, o mișcare strategică deoarece Tether poate îngheța USDT, dar DAI nu are controale centralizate.
Atacatorul a convertit apoi fondurile în aproximativ 16,690 ETH și a depus 16,680 ETH în Tornado Cash, mixerul de criptomonede, împiedicând sever urmărirea pe blockchain.
Într-o încercare disperată de a recupera fondurile, victima a oferit atacatorului o recompensă de 1 milion de dolari "white hat" în schimbul returnării a 98% din activele furate. Victima a mai declarat că a depus o plângere penală și că primește suport din partea agențiilor de aplicare a legii, agențiilor de cybersecurity și mai multor protocoale blockchain.
Opinia Subiectului:
Întoxicarea adresei nu exploatează defecte tehnice, ci mai degrabă obiceiuri de zi cu zi: copiere și lipire, încrederea în istoric, presupunând "Am încercat deja." Într-un mediu în care tranzacțiile sunt ireversibile, automatizarea atacurilor avansează mai repede decât educația utilizatorilor.
💬 Ar trebui ca portofelele să afișeze adresele complete implicit?
Lasă-ți comentariul...
#HackerAlert #USDT #Ethereum #TornadoCash #CryptoNews $ETH
