- Isang crypto user ang nawalan ng halos $50 milyon sa USDTmatapos kopyahin ang isang pekeng wallet address mula sa kasaysayan ng transaksyon.
- Ginamit ng atake ang address poisoning, na sinamantala ang mga wallet interface na nagtatago ng gitnang bahagi ng mga address.
- Ang mga pondo ay mabilis na na-swap at ipinadaan sa maraming wallet, kung saan ang ilang bahagi ay ipinadala sa Tornado Cash, na naglilimita sa mga opsyon para sa pagbawi.
Isang simpleng pagkakamali sa pagkopya at pag-paste ang naging sanhi ng isa sa pinakamahal na user error na naitala on-chain. Ipinapakita ng insidenteng ito kung paano ang mga simpleng gawi sa interface ay maaaring mapalitan ang maingat na pag-uugali at magdulot ng hindi na mababawi na pagkalugi.
Talaan ng Nilalaman
Paano ang Isang Karaniwang Test Transfer ay Naging $50M Pagkalugi
Ayon sa mga on-chain investigator, kabilang ang Lookonchain, nagsimula ang biktima sa isang hakbang na itinuturing na best practice ng maraming bihasang user: isang maliit na test transaction. Nagpadala ang user ng
Gayunpaman, ang test transfer na iyon ang naging mitsa.
Makalipas ang ilang sandali, naglunsad ang scammer ng address poisoning tactic. Lumikha ang attacker ng wallet address na may parehong unang at huling apat na digit tulad ng tunay na address ng biktima. Isang maliit na transaksyon ang ipinadala sa biktima gamit ang address na ito na kahawig ng totoong address, upang matiyak na ito ay mairekord sa kasaysayan ng transaksyon ng wallet.
Nang bumalik ang biktima upang gawin ang pangunahing transfer:
Address Poisoning: Isang Low-Tech na Atake na may Malaking Epekto
Hindi na kailangang i-hack ang personal keys o gumamit ng smart contracts. Umaasa ito sa human interface at pag-uugali.
Bakit Patuloy na Epektibo ang Atakeng Ito sa Malaking Sukat
Karamihan sa mga wallet ay pinaikli ang mga address upang mapadali ang pagbabasa. Madalas na tinitingnan ng user ang unang at huling bahagi ng address upang tiyakin ang transfer. Sinamantala ito ng mga attacker sa pamamagitan ng paggawa ng mga address na tumutugma sa mga nakikitang character na ito.
Sa kasong ito, agad itong ginawa ng scammer pagkatapos ng test transaction na nagpapahiwatig ng awtomatikong pagmamanman. Ginawang dahilan ng attacker ang kaginhawaan upang itago ang mas mainam na pag-iingat sa pamamagitan ng paglalagay ng halos magkaparehong address sa kasaysayan ng transaksyon ng biktima.
Itinuturing na basic ang pamamaraang ito kumpara sa mga komplikadong DeFi exploit. Ngunit ipinapakita ng resulta na kahit ang mga “simple” scam ay maaaring magdulot ng napakalaking pagkalugi kapag malalaking halaga ang sangkot.
Mga On-Chain na Galaw Pagkatapos ng Pagkakawalang
Ipinapakita ng blockchain records na ang ninakaw na USDT ay hindi nanatiling walang galaw. Mabilis na pinalitan ng attacker ang bahagi ng mga pondo sa ETH at ipinadala ang mga ito sa ilang wallet, na karaniwan upang mabawasan ang traceability.
Ang mga asset ay kalaunang inilipat sa Tornado Cash, isang privacy mixer na nagtatago ng mga bakas ng mga transfer. Kapag nailipat na ang pera sa ganitong serbisyo, napakaliit na ng tsansa ng pagbawi maliban na lang kung agad na kumilos ang mga exchange o validator.
Inilarawan ng mga analyst ang kadena ng mga wallet bilang epektibo at planado, na nangangahulugang handa na ang scammer na kumilos sa sandaling maganap ang malaking transfer.
Bakit Nabigla ang mga Analyst sa Kasong Ito
Ang address poisoning ay kilala at madalas na pinag-uusapan bilang isang nuisance scam na kinasasangkutan ng maliliit na halaga. Ang nagpapatingkad sa kasong ito ay ang sukat at ang uri ng pagkakamali.
Sinunod ng biktima ang karaniwang hakbang sa kaligtasan sa pamamagitan ng pagsubok gamit ang maliit na transfer. Sa kabalintunaan, ang aksyong iyon ang nagbigay ng senyas sa attacker upang gamitin ang pekeng address sa tamang sandali.
Napansin ng mga on-chain observer na ilang segundo lang na ginugol sa pagkopya ng address mula sa orihinal na source, sa halip na mula sa kasaysayan ng transaksyon, ay sana ay nakaiwas sa pagkalugi. Ang bilis ng blockchain finality ay hindi nagbigay ng pagkakataon para sa reversal.
Disenyo ng Wallet at ang Human Factor
Itinaas ng insidenteng ito ang mga tanong tungkol sa mga UX choice ng wallet. Pinapabuti ng pinaikling mga address ang visual clarity ngunit binabawasan ang seguridad para sa mga user na humahawak ng malalaking halaga.
Ang ilang wallet ngayon ay nagbababala sa mga user tungkol sa address poisoning o nagfa-flag ng mga address na halos kapareho ng mga kilalang address. Ang iba naman ay nag-aalok ng address whitelisting, kung saan ang mga transfer ay nililimitahan lamang sa mga pre-approved na address. Gayunpaman, hindi pa rin pare-pareho ang paggamit ng mga feature na ito.
Para sa mga high-value transfer, napatunayang hindi sapat ang pag-asa lamang sa visual check. Ipinapakita ng kasong ito kung paano kahit ang mga bihasang user ay maaaring mahulog sa mga predictable na pattern kapag may pressure sa oras.
