$50 Мільйон USDT викрадено через фальшиві адреси: всередині складної атаки на отруєння в блокчейні

Одна катастрофічна помилка користувача криптовалюти — копіювання адреси гаманця з історії транзакцій — призвела до втрати майже 50 мільйонів USDT. Зловмисник не використовував вразливості смарт-контрактів або компрометацію приватних ключів. Замість цього він застосував ілюзорно просту, але надзвичайно ефективну соціальну інженерію: створення фальшивих адрес, які виглядали майже ідентично легітимному гаманцю отримувача. Цей інцидент підкреслює важливу істину у криптографічній безпеці: найсильніше шифрування нічого не варте, коли найслабше місце — людська поведінка.

Як фальшиві адреси стають ідеальною зброєю у схемах отруєння адрес

За даними компанії з безпеки Web3 Antivirus, атака розгорталася у ретельно спланованій послідовності. Жертва почала з того, що більшість трейдерів вважає розумною стратегією управління ризиками: відправила тестову транзакцію на 50 USDT для підтвердження адреси призначення перед переказом основного балансу. Це рішення мало її захистити. Не захистило.

За кілька хвилин після виявлення тестової транзакції зловмисник розпочав свою схему. Він згенерував адресу гаманця, спеціально створену для імітації легітимної адреси отримувача, особливу увагу приділяючи співпадінню перших і останніх символів. Саме тут фальшиві адреси стають надзвичайно небезпечними: більшість блокчейн-оглядачів і інтерфейсів гаманців відображають адреси у скороченому вигляді (показуючи лише префікс і суфікс). Адреса, що починається з “0x1234…” і закінчується “…9XyZ”, виглядає майже ідентично фальшивій адресі з такими ж початковими і кінцевими сегментами, навіть якщо середина повністю інша.

Щоб закріпити обман, зловмисник надіслав мінімальну кількість токенів — “пильну частку” — з цієї фальшивої адреси безпосередньо на гаманець жертви. Ця транзакція служила важливою метою: вона забруднила історію транзакцій жертви записом з підробленої адреси. Коли жертва згодом готувалася переказати залишок у 49 999 950 USDT, вона обрала, здавалося, безпечний шлях — скопіювала адресу безпосередньо з історії транзакцій, де “пильна” транзакція тепер з’явилася як підтверджений запис. Не підозрюючи, вона вибрала адресу-двійника зловмисника і ініціювала величезний переказ прямо на гаманець шахрая.

Чому фальшиві адреси і “пильні” транзакції майже неможливо запобігти

Атаки на отруєння адрес — особливо ті, що використовують фальшиві адреси — не націлені на технічну інфраструктуру. Вони спрямовані на людську психологію і встановлені звички користувачів:

Копіювання та вставка: більшість користувачів звикли копіювати адреси гаманців, а не вводити їх вручну, що робить їх вразливими до забруднення історії транзакцій.

Перевірка скорочених адрес: перевірка лише перших і останніх символів стала стандартною практикою, але це залишає середню частину — часто понад 30 символів — неперевіреною.

Довіра до історії транзакцій: користувачі природно вважають, що якщо адреса з’явилася у підтвердженій історії транзакцій, вона має бути легітимною. Це стає вразливістю, коли фальшиві адреси навмисно вставляються у цю історію.

Автоматизовані цілі: складні мережі ботів постійно сканують блокчейн у пошуках гаманців із високим балансом. Як тільки такі акаунти виявляються, їх одразу засипають “пильними” транзакціями з підроблених адрес. Зловмисники фактично грають у гру з числами: щодня надсилають тисячі “пильних” транзакцій і чекають на одну вигідну помилку.

У цьому випадку, після місяців або навіть років терпіння, стратегія бота дала катастрофічний результат. Моментальна помилка одного користувача призвела до втрати 50 мільйонів доларів.

Від слідів до маскування: шлях фальшивих адрес

Аналіз на блокчейні показав стратегію зловмисника після пограбування. Замість тримати викрадені USDT, він одразу:

1. Обміняв USDT на ETH, конвертуючи активи у інший токен для ускладнення відслідковування
2. Розподілив активи між кількома проміжними гаманцями, розбиваючи слід транзакцій на менші частини
3. Направив частину через Tornado Cash, санкціоновану службу змішування криптовалют, щоб приховати походження коштів

Ці складні методи відмивання значно зменшують шанси на відновлення. Комбінація обміну токенів, розбиття гаманців і використання сервісів змішування створює майже нездоланний слід — навіть за повної прозорості блокчейну.

Відчайдушний заклик жертви на блокчейні залишився без відповіді

У надзвичайній спробі повернути кошти жертва опублікувала пряме повідомлення у блокчейні з пропозицією переговорів. Вона запропонувала зловмиснику так званий “бонус білої шапки” у розмірі 1 мільйон доларів США, якщо 98% викрадених коштів буде повернено протягом 48 годин. Жертва додала юридичний аргумент, попереджаючи про залучення міжнародних правоохоронних органів, якщо хакер відмовиться.

“Це ваша остання можливість вирішити цю справу мирно,” — йшлося у повідомленні. “Невиконання вимог призведе до кримінального переслідування.”

На момент публікації звіту кошти не повернули, і зловмисник мовчить.

Необхідний захист: як побудувати оборону проти фальшивих адрес

Цей випадок є жорсткою наукою у криптобезпеці. Уразливість полягає не у технологіях блокчейну — вона цілком у поведінці користувачів. Щоб захистити себе:

Ніколи не беріть адреси лише з історії транзакцій. Навіть якщо адреса з’явилася у підтверджених транзакціях, ставтеся до неї як до неперевіреної, доки не підтвердите її через кілька каналів (прямий зв’язок із отримувачем, перевірка через блокчейн-оглядач тощо).

Перевіряйте повну адресу, а не лише фрагменти. Замість перевірки лише перших і останніх символів, підтверджуйте всю адресу. Використовуйте інструменти порівняння адрес або вручну перевіряйте щонайменше 50% середньої частини.

Впроваджуйте біллістинг адрес там, де підтримуються ваш гаманець або біржа. Біллістинг створює фіксований список дозволених адрес для виведення, запобігаючи випадковим переказам на невідомі гаманці — будь то помилки або фальшиві адреси зловмисників.

Розглядайте несподівані “пильні” транзакції як тривожний сигнал. Якщо ви отримали несподіваний переказ токенів — особливо з незнайомих адрес — досліджуйте їх перед використанням для будь-яких переказів. “Пильні” транзакції часто навмисно вставляються зловмисниками для забруднення історії вашого адреси.

Використовуйте апаратні гаманці з екранами для перевірки адрес. Преміальні апаратні гаманці показують повну адресу призначення під час підтвердження транзакції на захищеному екрані, обходячи необхідність довіряти програмним інтерфейсам або скороченим адресам.

Жорсткий урок: один клік — і 50 мільйонів доларів зникли

Цей випадок демонструє фундаментальну істину криптовалюти: найміцніше криптографічне забезпечення стає безглуздим, коли людська увага зосереджена неправильно. Фальшиві адреси, “пильні” транзакції і схеми отруєння адрес — це категорія атак, яку жодні інновації у блокчейні не здатні повністю вирішити. Вирішення — у пильності, резервних копіях і здоровому рівні параної щодо перевірки адрес.

У крипті безпека — не лише технічна проблема, а й поведінкова. І один необережний момент може коштувати всього.