$50M USDT Втрата через отруєння адреси та шахрайство в мережі

Джерело: CryptoTale Оригінальна назва: $50M USDT Втрата через отруєння адреси у шахрайстві на блокчейні Оригінальне посилання: https://cryptotale.org/50m-usdt-lost-in-address-poisoning-on-chain-scam/

• $50M USDT було втрачено після того, як користувач скопіював отруєну адресу гаманця з історії транзакцій.
• Шахрайство базувалося на пилових переказах і подібних адресах, а не на експлуатації протоколу.
• Чарльз Госсінгтон заявив, що моделі блокчейнів на основі облікових записів ускладнюють ризики отруєння адрес.

Користувач криптовалюти, який потрапив у шахрайство з отруєнням адреси, втратив майже $50 мільйон у USDT. Злом стався через серію транзакцій у мережі і був виявлений компанією з безпеки блокчейнів. Випадок виділяється масштабом втрати та відсутністю будь-якого порушення протоколу або експлуатації смарт-контракту.

Злодійство було вперше виявлено Web3 Antivirus, яке зафіксувало аномальну поведінку транзакцій. За даними з блокчейну, жертва випадково надіслала $49 999 950 USDT на гаманець хакера. Перед цим було зроблено невеликий тестовий платіж для підтвердження цільової адреси. Остання транзакція була спрямована на інший гаманець.

Госсінгтон порівнює облікові ланцюги з системами UTXO

Інцидент викликав коментарі від Чарльза Госсінгтона. Він зазначив, що такі втрати тісно пов’язані з моделями блокчейнів на основі облікових записів. Ці системи базуються на постійних адресах і видимій історії транзакцій. Така структура дозволяє зловмисникам маніпулювати тим, що бачать користувачі при копіюванні адрес.

Госсінгтон порівняв це з блокчейнами на основі UTXO, такими як Bitcoin і Cardano. У цих системах транзакції споживають і створюють окремі виходи. Гаманці формують платежі з конкретних виходів, а не з повторно використаних облікових записів. Постійна історія адрес для отруєння у такій формі не існує.

Гаманець жертви був активним близько двох років і переважно використовувався для переказів USDT. Незабаром після виведення коштів з великої біржі, гаманець отримав близько $50 мільйона. Користувач надіслав тестовий транзакційний платіж для цільового отримувача. Через кілька хвилин залишок був переведений на неправильну адресу.

Дослідники стверджують, що шахрай передбачив цю поведінку. Після тестового переказу зловмисник створив нову адресу гаманця, яка дуже нагадувала легітимну цільову. Перший і останній символ були однакові. Оскільки багато гаманців скорочують адреси у історії транзакцій, шахрайська адреса виглядала візуально схожою на справжню.

Як отруєння адреси використовувало пилові перекази для крадіжки $50

Щоб посилити обман, зловмисник надіслав мізерний пиловий транзакційний платіж на гаманець жертви. Це вставило фальшиву адресу у історію транзакцій. Коли користувач пізніше скопіював адресу з попередньої активності, була обрана отруєна запис. Фонди були безпосередньо переведені на гаманець зловмисника без додаткової перевірки.

Шахрайські схеми отруєння адрес працюють масштабно. Автоматизовані боти розповсюджують пилові транзакції на гаманці з великими балансами. Мета — використати звичку копіювати і вставляти під час майбутніх переказів. Більшість спроб не успішні. Однак одна помилка може призвести до значних втрат, як показано в цьому випадку.

Записи у блокчейні показують, що вкрадені USDT швидко обміняли на Ether у мережі Ethereum. Активи потім були переміщені через серію проміжних гаманців. Деякі з цих адрес пізніше взаємодіяли з Tornado Cash. Міксер зазвичай використовується для приховування слідів транзакцій.

Переміщення коштів свідчить про спробу ускладнити відстеження, а не про негайну ліквідацію. Відновлення активів не підтверджено. Зловмисник не відповів публічно. Моніторинг пов’язаних адрес триває через аналіз у блокчейні.

Після інциденту жертва залишила на блокчейні повідомлення з вимогою повернути 98% вкрадених коштів протягом 48 годин. Вона пообіцяла $50M мільйон у вигляді білого хату, якщо активи будуть повернені цілком. У повідомленні також погрожували юридичним переслідуванням і кримінальним звинуваченням.

Аналітики безпеки наголошують, що це не було вразливістю протоколу. Жодних криптографічних засобів не було обійдено. Втрата сталася через дизайн інтерфейсу у поєднанні з поширеними звичками користувачів. Шахрайські схеми з отруєнням адрес використовують часткове співпадіння адрес і залежність від історії транзакцій. Менше ніж за годину ці фактори призвели до втрати $1 мільйона.