Uwaga na "address poisoning"
Użytkownik Ethereum stracił 514 tys. USDT przez fałszywy adres portfela skopiowany z historii transakcji.
Bardzo często ostrzegamy użytkowników rynku przed różnego rodzaju oszustwami. Tym razem chcieliśmy przypomnieć o tzw. ataku address poisoning, który polega na celowym „zatruciu” historii transakcji ofiary fałszywymi adresami portfeli. Celem oszustów jest doprowadzenie do sytuacji, w której użytkownik sam skopiuje błędny adres i wyśle na niego środki.
W praktyce wygląda to następująco. Oszust wysyła do ofiary drobne transakcje z adresów bardzo podobnych do prawdziwego adresu odbiorcy, z którego ofiara regularnie korzysta. Różnice dotyczą zwykle kilku znaków w środku adresu, co jest trudne do zauważenia, zwłaszcza że portfele często skracają adresy i pokazują jedynie ich początek oraz koniec. W efekcie fałszywy adres pojawia się w historii transakcji portfela ofiary i wygląda na znajomy oraz wiarygodny.
Ten sposób oszustwa warto przypomnieć szczególnie dlatego, że niedawno jeden z użytkowników stracił w ten sposób ponad pół miliona dolarów w USDT na blockchainie Ethereum. Najpierw wysłał on testowy przelew w wysokości 5 tysięcy USDT na adres, który wcześniej skopiował z historii transakcji. Nie był to jednak adres docelowego odbiorcy, lecz fałszywy adres należący do oszusta, który wcześniej „podrzucił” go do historii portfela. Dwie minuty później, przekonany, że adres jest poprawny, użytkownik wysłał na ten sam adres główną transakcję opiewającą na 509 tysięcy USDT. Łączna strata wyniosła 514 tysięcy dolarów.
Kluczowe jest to, że testowy przelew nie zabezpiecza przed tego typu atakiem, jeśli użytkownik testuje już błędny adres. W tym przypadku oba przelewy trafiły do oszusta, ponieważ adres został skopiowany z historii transakcji, a nie sprawdzony znak po znaku.
Po zatwierdzeniu transakcji w blockchainie środki są praktycznie nie do odzyskania. Ataki address poisoning wykorzystują rutynę, pośpiech oraz zaufanie do historii transakcji w portfelu. Dlatego przed każdym przelewem, zwłaszcza na większą kwotę, należy dokładnie weryfikować cały adres odbiorcy i unikać kopiowania go bezpośrednio z historii. W świecie kryptowalut jedna chwila nieuwagi może oznaczać nieodwracalną stratę.
