Drogie błędy. Strata 68 milionów dolarów przez ofiarę w wyniku oszustwa

Drogie błędy. Strata 68 milionów dolarów przez ofiarę w wyniku oszustwa

Ostatnio ktoś ponosi ogromne straty, tracąc tysiąc Wrapped Bitcoin (WBTC) z powodu błędu podczas kopiowania i wklejania nieprawidłowego adresu w transakcji kryptowalutowej.

Cyberprzestępcy ponownie wykorzystali znaczną ofiarę, nakłaniając ją do przekazania 68 milionów dolarów na adres portfela, który uznano błędnie za znany.

Informacje z Blockchain ujawniają, że niegdyś zamożny użytkownik Ethereum utracił całą swoją wartość w Bitcoinach, gdy jego historia transakcji portfela została skontaminowana przez hakerów. Na koncie ofiary pozostało teraz tylko 1,6 miliona dolarów w aktywach kryptowalutowych.

Ryzyko zatruwania adresów

Etherscan odnotowuje, że w skład pozostałych aktywów portfela nadawcy wchodzi 0,89 ETH (2 747 USD) oraz 1,63 miliona DAI, stabilnej waluty powiązanej z dolarem.

Skradzione zasoby ofiary obejmowały 1155 Wrapped Bitcoin (WBTC), który funkcjonuje jak stabilna waluta dla Bitcoina na platformie Ethereum, odzwierciedlając wartość wiodącego aktywa cyfrowego. WBTC jest narażony na różnorodne ataki i luki, które są częste w ekosystemie Ethereum, takie jak zatruwanie adresów.

Zanieczyszczenie portfela, czyli „zatrucie adresu”, polega na wykonaniu transakcji — zazwyczaj o zerowej lub minimalnej wartości — na adres portfela ofiary, by adres napastnika pojawił się w jej historii transakcji.

Atakujący świadomie tworzą swój adres, by miał podobne początkowe i końcowe znaki, jak adres ofiary. Popularne oprogramowanie portfela często skraca adresy, pokazując tylko pierwszy i ostatni znak, co sprawia, że różnice są trudne do zauważenia na pierwszy rzut oka.

Działania zatruwające adresy

W tej sytuacji zarówno adres napastnika, jak i właściwy celowy adres zaczynały się od 0xd9A1 i kończyły na 853a91.

W idealnym scenariuszu napastnik liczy, że ofiara spróbuje skopiować ten adres z historii, gdy będzie chciała otrzymać kolejną transakcję, myśląc, że jest to jej adres lub adres znajomego.

W ubiegłym roku, atakujący stosujący zatrucie adresów, zdobyli 2 miliony dolarów od użytkowników SafeWallet w ciągu tygodnia. W lutym, użytkownik Kraken stracił 1 milion USDT, gdy oszuści podrobili jego historię transakcji, imitując wcześniejsze interakcje ofiary z giełdą.

Metamask radzi swoim użytkownikom, aby unikali kopiowania adresów z historii transakcji i dodawali często używane adresy do swojej książki adresowej, co ma na celu unikanie korzystania z adresów nieautoryzowanych.