Phishing kosztował go 2,6 mln
Inwestor stracił 2,6 mln dolarów w kryptowalutach przez podwójny atak phishingowy
Bezpieczeństwo portfeli kryptowalutowych to temat, który powinien leżeć na sercu każdego inwestora. Niestety, cyberprzestępcy nieustannie doskonalą swoje metody, a nawet doświadczeni użytkownicy mogą paść ich ofiarą. Doskonałym przykładem jest niedawny przypadek, w którym jeden inwestor stracił 2,6 miliona dolarów w stablecoinach USDT w ciągu zaledwie trzech godzin – i to dwukrotnie dając się oszukać tym samym sposobem.
Czym jest atak "zero-value transfer"?
Za tym spektakularnym oszustwem stała zaawansowana technika phishingu blockchain znaną jako "zero-value transfer". W przeciwieństwie do tradycyjnych metod, nie wymaga ona przechwytywania haseł czy kluczy prywatnych. Mechanizm działania jest o wiele bardziej wyrafinowany.
Oszuści wysyłają z portfela ofiary fałszywe transakcje o zerowej wartości na adres, który wygląda jak zaufany. Kluczowa różnica polega na tym, że takie transakcje nie wymagają podpisu właściciela portfela, więc automatycznie pojawiają się w jego historii transakcji.
Pułapka zamyka się, gdy użytkownik przeglądając swoją historię, dostrzega "znany" adres i – nie sprawdzając go dokładnie – wysyła na niego prawdziwe środki. Dokładnie tak stracił swoje pieniądze wspomniany inwestor, który przelał łącznie 2,6 miliona dolarów na dwa fałszywe adresy.
Ewolucja oszustw adresowych
Metoda "zero-value transfer" to udoskonalona wersja wcześniejszej techniki zwanej "address poisoning" (zatruwanie adresów). W tamtej metodzie cyberprzestępcy wysyłali małe kwoty z adresów przypominających prawdziwe – na przykład mających identyczne początkowe i końcowe znaki. Liczyli na to, że użytkownik skopiuje taki adres przy kolejnej transakcji.
Obie techniki wykorzystują ludzką naturę: naszą skłonność do ufania własnej historii transakcji oraz brak czujności przy rutynowych czynnościach.
Skala problemu
Dane opublikowane na początku 2025 roku pokazują prawdziwą skalę zagrożenia. Tylko w sieciach BNB Chain i Ethereum odnotowano ponad 270 milionów prób takich ataków w ciągu dwóch lat. Z tej ogromnej liczby 6000 zakończyło się sukcesem, przynosząc cyberprzestępcom ponad 83 miliony dolarów zysku.
Te statystyki jasno pokazują, że problem dotyczy nie tylko pojedynczych przypadków, ale stanowi systemowe zagrożenie dla całego ekosystemu kryptowalut.
Branża bezpieczeństwa blockchain nie pozostaje bierna wobec rosnącego zagrożenia. Firmy takie jak Trugard i Webacy intensywnie pracują nad rozwiązaniami opartymi na sztucznej inteligencji, które mają wykrywać próby zatrucia adresów. Najnowsze narzędzia osiągają już skuteczność na poziomie 97%, co daje nadzieję na ograniczenie skali problemu.
Jak się chronić?
Dla każdego użytkownika kryptowalut najważniejsze są podstawowe zasady bezpieczeństwa. Zawsze należy weryfikować pełne adresy przed wysłaniem transakcji, unikać automatycznego kopiowania adresów z historii oraz korzystać z dostępnych narzędzi bezpieczeństwa.
W świecie, gdzie jeden błąd może kosztować miliony dolarów, ostrożność przestała być opcją – stała się absolutną koniecznością
