Ван Чунь теж став жертвою: «плата за навчання» у 50 мільйонів доларів. Чому отруєння адрес таке ефективне?

Оригінальна назва статті: «50 мільйонів доларів вкрадено через відсутність подвійної перевірки адреси»

Автор статті: Ерік, Foresight News

Вчора вранці за пекінським часом блокчейн-аналітик на ім'я Specter виявив випадок, коли майже 50 мільйонів the USDT були переведені на адресу хакера через відсутність ретельної перевірки адреси.

Згідно з розслідуванням автора, адреса (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) вивела 50 USDT з Binance для великого тестового виведення близько 13:00 19-го числа за пекінським часом.

Приблизно через 10 годин адреса вивела 49 999 950 USDT однією транзакцією з Binance, додавши їх до попередніх 50 USDT, що в сумі склало рівно 50 мільйонів.

Приблизно через 20 хвилин адреса, що отримала 50 мільйонів USDT, спочатку перевела 50 USDT на адресу 0xbaf4…95F8b5 у тестових цілях.

Менш ніж через 15 хвилин після тестової транзакції адреса хакера 0xbaff…08f8b5 перевела 0,005 USDT на адресу, що утримувала решту 49 999 950 USDT. Адреса хакера, використана для переказу, мала дуже схожий початок і кінець порівняно з адресою, яка отримала 50 USDT, що вказує на явну атаку «отруєння адреси».

10 хвилин по тому, коли адреса, що починається з 0xcB80, спробувала перевести решту 40+ мільйонів USDT, можливо, через недбалість, вона помилково скопіювала попередню транзакцію, тобто адресу, використану хакером для «отруєння», і напряму відправила майже 50 мільйонів USDT хакеру.

Отримавши 50 мільйонів доларів, хакер розпочав відмивання коштів всього через 30 хвилин. Згідно з моніторингом SlowMist, хакер спочатку конвертував USDT в DAI через MetaMask, потім використав усі DAI для купівлі приблизно 16 690 Ethereum, залишивши 10 ethereum-eth-143">ETH і перевівши решту Ефіріум у Tornado Cash.

Вчора близько 16:00 (за пекінським часом) жертва звернулася до хакера в мережі, заявивши, що кримінальну справу було офіційно порушено. За сприяння правоохоронних органів, організацій з кібербезпеки та кількох блокчейн-протоколів було зібрано значну частину достовірної інформації про діяльність хакера. Жертва заявила, що хакер може залишити собі 1 мільйон доларів і повернути решту 98% коштів. Якщо хакер виконає вимоги, подальших дій не буде; однак, якщо хакер не піде на співпрацю, його переслідуватимуть за законом для притягнення до кримінальної та цивільної відповідальності, а особу хакера буде публічно розкрито. На цей момент хакер не вжив жодних дій.

Згідно з даними, зібраними платформою Arkham, ця адреса має записи про великі перекази з Binance, Kraken, Coinhako та Cobo. Хоча Binance, Kraken та Cobo добре відомі, Coinhako може бути менш знайомою назвою. Coinhako — це місцева сінгапурська криптобіржа, заснована у 2014 році. У 2022 році вона отримала ліцензію великої платіжної установи від Валютного управління Сінгапуру, що робить її регульованою біржею в Сінгапурі.

Враховуючи, що ця адреса взаємодіяла з кількома біржами та кастодіальними сервісами Cobo і продемонструвала здатність швидко зв'язатися з різними сторонами для відстеження хакера протягом 24 годин після інциденту, автор припускає, що ця адреса, швидше за все, належить організації, а не приватній особі.

From "Oops" to a Costly Mistake

Єдине пояснення успішної атаки «отруєння адреси» — це «недбалість». Такі атаки можна легко уникнути, двічі перевіривши адресу перед транзакцією, але, очевидно, центральна фігура в цьому інциденті пропустила цей важливий крок.

Атаки «отруєння адрес» з'явилися у 2022 році, історія бере початок від генератора «красивих адрес», інструменту, який дозволяє налаштовувати префікс EVM-адреси. Наприклад, автор міг згенерувати адресу, що починається з 0xeric, щоб зробити її більш впізнаваною.

Пізніше хакер виявив, що через помилку в дизайні цей інструмент може підбирати private key методом перебору, що призвело до кількох великих крадіжок коштів. Однак можливість генерувати адреси з налаштовуваними префіксами та суфіксами також породила зловісну ідею: створюючи адреси, схожі на початок і кінець часто використовуваної користувачем адреси для переказу, і переводячи кошти на іншу адресу, що використовується користувачем, деякі люди можуть помилково відправити свої активи в мережі на адресу хакера, прийнявши її за свою через недбалість.

Історичні дані в мережі показують, що адреса, що починається з 0xcB80, була однією з ключових цілей для «отруєння адреси» хакером до цієї атаки, причому атака почалася майже рік тому. Цей метод атаки фундаментально спирається на те, що хакер робить ставку на те, що одного дня ви попадетеся на хитрощі через лінь або неуважність. За іронією долі, цей відверто очевидний метод атаки призвів до того, що все більше «недбалих» людей стають жертвами.

У відповідь на цей інцидент співзасновник F2Pool Ван Чунь висловив співчуття жертвам. Він згадав, що минулого року, щоб перевірити, чи не відбувся витік його приватного ключа, він відправив на нього 500 Bitcoin, тільки щоб 490 Біткоїнів були вкрадені хакерами. Хоча досвід Ван Чуня напряму не пов'язаний з атаками «отруєння адрес», він, ймовірно, хотів донести, що у кожного бувають моменти упущення, і не варто звинувачувати жертв за їхню недбалість, а скоріше варто вказувати пальцем на хакерів.

Втрата у 50 мільйонів доларів — це чимала сума, але це не найбільша сума, вкрадена в подібних атаках. У травні 2024 року адреса стала жертвою аналогічної атаки, коли понад 70 мільйонів доларів у обгорнутому Біткоїні (WBTC) були відправлені на адресу хакера. Однак жертва зрештою повернула майже всі кошти через переговори в мережі за сприяння фірм з безпеки та торгової платформи Cryptex. У цьому недавньому інциденті хакер швидко конвертував вкрадені кошти в Ефіріум і перевів їх у Tornado Cash, що робить можливість відновлення невизначеною.

Співзасновник і директор з безпеки Casa Джеймсон Лопп попередив у квітні, що атаки «отруєння адрес» швидко поширюються, причому з 2023 року в мережі Біткоїн відбулося понад 48 000 таких інцидентів.

Ці методи атаки, включаючи підроблені посилання на зустрічі в Zoom у Telegram, не є складними, але саме цей «простий» підхід може застати людей зненацька. Для тих з нас, хто знаходиться в темному лісі, завжди краще бути гранично обережними.

Original Article Link