O furtună uimitoare a avut loc în lumea blockchain: un „whale” din domeniul crypto a pierdut 50 de milioane de dolari (aproximativ 360 de milioane de yuani) în câteva secunde. Fără vulnerabilități complexe de cod, fără atacuri brute, hackerul a profitat pur și simplu de o inerție psihologică umană pentru a finaliza această prăduire perfectă.
Cum a căzut whale-ul în capcană?
Întreaga proces a semănat foarte mult cu un film de crimă de înaltă inteligență, hackerul demonstrând un nivel extrem de automatizare și capacitate de manipulare psihologică.
Whale-ul a retras 50 de milioane de USDT de pe platforma de tranzacționare Binance în portofelul său. Pentru a fi în siguranță, a transferat mai întâi o sumă mică (50 USDT) către adresa țintă pentru a efectua un test. — Această etapă părea profesională și prudentă.
Programele automate ale hackerilor (Bot) monitorizează 24/7 mișcările mari pe lanț. În momentul în care balena emite fonduri de test, programul hackerilor generează imediat o „adresă falsă”. Primele și ultimele caractere ale acestei adrese false sunt exact identice cu adresa reală a țintei balenei. Hackerul folosește această adresă falsă pentru a transfera o sumă nesemnificativă (0.005 USDT) în portofelul balenei.
Această sumă mică a făcut ca adresa falsă să apară pe primul loc în „istoricul recent de tranzacții” al portofelului balenei. Atunci când balena transfera suma enormă de 50 de milioane, a copiat din obicei ultima adresă din istoricul tranzacțiilor (crezând că este adresa pe care a testat-o anterior). Rezultatul a fost că 50 de milioane de dolari au intrat instantaneu în buzunarul hackerului.
După ce a avut succes, hackerul a schimbat rapid USDT (care poate fi înghețat de instituții centralizate) în DAI (monedă stabilă descentralizată) și a dispersat-o prin Tornado Cash (mixer), tăind complet urmărirea.
După incident, balena a trimis un mesaj pe lanț, afirmând că „a raportat la poliție, a localizat” și a oferit hackerului 48 de ore pentru a restitui fondurile, promițând o recompensă de 1 milion de dolari (2%), altfel se va vedea în instanță. Dar, din perspectiva experților din industrie, aceasta arată mai mult ca o amenințare de slăbiciune.
Aceasta nu este doar o înșelătorie, este un joc psihologic.
Privind din perspectiva financiară și tehnologică, acest caz dezvăluie trei logici fundamentale adânci:
1. „Întoxicarea adreselor” și efectul primar și final (Address Poisoning)
Aceasta este tehnica de bază a acestui atac. În scenariile blockchain (și multe transferuri bancare), contul/adresa este o succesiune extrem de lungă de caractere fără un model clar.
Creierul uman nu poate procesa numere aleatorii foarte lungi, suntem obișnuiți să verificăm primele 3 și ultimele 3 caractere pentru a confirma consistența.
Costul generării unei adrese care are aceeași primă și ultimă parte este extrem de mic (coliziune de putere de calcul), dar utilizarea „leneviei cognitive” a victimei poate genera un profit de 50 de milioane de dolari. Aceasta este o strategie de atac cu un raport foarte ridicat de câștig/pierdere.
2. Capcanele de gândire sistem I vs sistem II
Câștigătorul Premiului Nobel în economie, Daniel Kahneman, a propus teoria gândirii rapide și lente:
- Atunci când a testat transferul, balena a apelat la sistemul II (gândire lentă), rațional, precaut.
- La transferul oficial, din cauza succesului recent al testului, balena și-a relaxat vigilența, a comutat pe sistemul I (gândire rapidă), bazându-se pe intuiție și obiceiuri (copiind ultimele înregistrări).
Hackerul a profitat de momentul de relaxare după precauție, acesta fiind cel mai ușor moment pentru toți traderii și investitorii de a greși.
3. Jocul de active centralizat și descentralizat
Operațiunile hackerului după ce a obținut succesul sunt foarte profesioniste:
- USDT (Tether): aparține activelor centralizate, emitentul Tether are dreptul de a îngheța fondurile asociate adresei implicate.
- DAI: aparține activelor descentralizate, nu poate fi înghețat de o singură instituție.
Hackerul a schimbat instantaneu DAI, demonstrând o conștiință extrem de puternică a gestionării riscurilor de lichiditate - înainte ca reglementările să reacționeze, a schimbat natura activelor de la „înghețabil” la „neînghețabil”.
Cum pot învăța oamenii obișnuiți despre managementul riscurilor?
Deși acesta este un caz din domeniul criptomonedelor, logica sa de management al riscurilor se aplică tuturor operațiunilor financiare, transferurilor mari și chiar deciziilor comerciale.
1. Stabilirea unui mecanism de verificare „zero trust” (SOP)
Indiferent dacă plasezi comenzi pe software-ul de tranzacționare a acțiunilor sau efectuezi transferuri bancare, nu te baza niciodată pe „istoricul” sau „clipboard”.
Stabilește un „caiet de adrese” sau „carte de contact” independent. Atunci când faci transferuri, copiază informațiile din sursa în care ai încredere (cum ar fi contractul original, agenda oficială a aplicației) și nu din istoricul recent de operațiuni.
Nu te uita doar la început și la sfârșit. Metoda de verificare a pozițiilor intermediare este mai sigură decât metoda de verificare a începutului și sfârșitului, deoarece hackerii au dificultăți să creeze o adresă care să fie identică și în mijloc.
2. Fii atent la „interferențe mici”
Dacă contul tău primește brusc sume mici de bani din surse necunoscute, rambursări mici sau airdrop-uri ciudate, de obicei nu este vorba de noroc, ci de o marcaj.
Este ca și cum un competitor ar da click malițios pe reclama ta sau ți-ar trimite emailuri de phishing. Orice „noroc” nesolicitat ar trebui considerat un semnal potențial de atac.
3. „Perioada de blocare de aur” atunci când apare riscul
Balena a pierdut din cauza vitezei de reacție după transfer, care nu a fost la fel de rapidă ca viteza hackerului de a spăla banii.
Dacă gestionezi active mari, trebuie să preconizezi un plan de urgență. Odată ce se întâmplă o eroare, contactează imediat emitentul (cum ar fi banca, brokerul, Tether) pentru a îngheța, și nu trimite mai întâi mesaje pe rețelele sociale sau nu scrie scrisori de amenințare. În lumea financiară, controlul (înghețarea fondurilor) este mult mai important decât dreptul de regres (litigii legale).
Rezumat
Această taxă de școlarizare de 50 de milioane de dolari ne spune:
În era finanțelor digitale, cea mai mare vulnerabilitate rămâne întotdeauna omul. Tehnologia poate cripta activele, dar nu poate cripta neatenția noastră. Indiferent dacă faci investiții în acțiuni sau gestionezi o afacere, respectarea unor proceduri stricte de operare (SOP) este întotdeauna cea mai eficientă metodă de a combate costurile incertitudinii.