$50M USDT Perdido em Endereço de Envenenamento de Scam na Cadeia

Fonte: CryptoTale Título Original: $50M USDT Perdidos em Envenenamento de Endereço e Fraude On-Chain Link Original: https://cryptotale.org/50m-usdt-lost-in-address-poisoning-on-chain-scam/

• Um $50M USDT foi perdido após um utilizador copiar um endereço de carteira envenenado do histórico de transações.
• A fraude baseou-se em transferências de pó e endereços semelhantes, não numa exploração de protocolo.
• Charles Hoskinson afirmou que os modelos de blockchain baseados em contas permitem riscos de envenenamento de endereços.

Um utilizador de criptomoedas que caiu numa fraude de envenenamento de endereço perdeu quase $50 milhão em USDT. A exploração ocorreu através de uma série de transações on-chain e foi finalmente descoberta por uma empresa de segurança blockchain. O caso destaca-se devido à escala da perda e à ausência de qualquer violação de protocolo ou exploração de smart contract envolvida.

O roubo foi detectado inicialmente pela Web3 Antivirus, que sinalizou um comportamento anormal nas transações. Segundo dados on-chain, a vítima enviou acidentalmente $49.999.950 USDT para uma carteira de hackers. O pagamento foi precedido por um pequeno teste de pagamento com o objetivo de confirmar o endereço de destino. A última transação foi enviada para outra carteira.

Hoskinson Compara Cadeias Baseadas em Contas com Sistemas UTXO

O incidente suscitou comentários de Charles Hoskinson. Ele afirmou que tais perdas estão intimamente relacionadas com modelos de blockchain baseados em contas. Estes sistemas dependem de endereços persistentes e históricos de transações visíveis. Essa estrutura permite que atacantes manipulem o que os utilizadores veem ao copiar endereços.

Hoskinson contrastou isto com blockchains baseadas em UTXO, como Bitcoin e Cardano. Nesses sistemas, as transações consomem e criam outputs discretos. As carteiras constroem pagamentos a partir de outputs específicos, em vez de reutilizar pontos finais de contas. Um histórico de endereços persistente para envenenamento não existe na mesma forma.

A carteira da vítima esteve ativa por cerca de dois anos e era usada principalmente para transferências de USDT. Logo após os fundos serem retirados de uma grande exchange, a carteira recebeu perto de $50 milhão. O utilizador enviou uma transação de teste $50 para o destinatário pretendido. Minutos depois, o saldo restante foi transferido usando um endereço incorreto.

Investigadores afirmam que o criminoso antecipou esse comportamento. Após a transferência de teste, o atacante gerou um novo endereço de carteira projetado para se assemelhar ao destino legítimo. Os primeiros e últimos caracteres eram iguais. Como muitas carteiras encurtam endereços nos históricos de transações, o endereço fraudulento parecia visualmente semelhante ao real.

Como o Envenenamento de Endereço Usou Transferências de Pó para Roubar $50M

Para reforçar a enganação, o atacante enviou uma pequena transação de pó para a carteira da vítima. Essa ação inseriu o endereço falso no histórico de transações. Quando o utilizador copiou posteriormente o endereço de atividades anteriores, a entrada envenenada foi selecionada. Os fundos foram então transferidos diretamente para a carteira do atacante sem mais verificações.

Fraudes de envenenamento de endereços operam em grande escala. Bots automatizados distribuem transações de pó para carteiras com saldos elevados. O objetivo é explorar hábitos rotineiros de copiar e colar durante futuras transferências. A maioria das tentativas não tem sucesso. No entanto, um erro isolado pode levar a uma perda substancial, como demonstrado neste caso.

Registos na blockchain mostram que o USDT roubado foi rapidamente trocado por Ether na rede Ethereum. Os ativos foram então movidos através de uma série de carteiras intermediárias. Algumas dessas endereços mais tarde interagiram com Tornado Cash. O mixer é comumente usado para obscurecer rastros de transações.

O movimento dos fundos sugere um esforço para complicar o rastreamento, em vez de uma liquidação imediata. Nenhuma recuperação dos ativos foi confirmada. O atacante não respondeu publicamente. A monitorização dos endereços relacionados continua através de análise on-chain.

Após o incidente, a vítima escreveu uma nota on-chain ao atacante. A mensagem exigia que 98% dos fundos roubados fossem devolvidos em 48 horas. Prometeu $1 milhão como recompensa de white-hat se os ativos fossem devolvidos na sua totalidade. A comunicação também ameaçou escalada legal e acusações criminais.

Analistas de segurança enfatizam que isto não foi uma falha de protocolo. Nenhuma salvaguarda criptográfica foi contornada. A perda resultou do design da interface combinado com hábitos comuns dos utilizadores. Fraudes de envenenamento de endereços exploram a correspondência parcial de endereços e a dependência do histórico de transações. Em menos de uma hora, esses fatores levaram a uma perda de $50 milhão.