Недавно я прочитал о довольно страшной мошеннической схеме в криптовалютном пространстве. Один популярный инфлюенсер на X с почти 25 тысячами подписчиков по имени Sillytuna потерял 24 миллиона долларов всего лишь из-за небольшой оплошности. Этот инцидент подтвердила компания по обеспечению безопасности блокчейна PeckShield еще в прошлом году, и он действительно заслуживает нашего внимания.

Механизм атаки довольно изощренный. Злоумышленник создает фальшивый адрес кошелька, который отличается от настоящего адреса Sillytuna всего несколькими символами посередине, но первые и последние символы полностью совпадают. Затем он отправляет небольшую, бесполезную транзакцию с этого фальшивого адреса на кошелек жертвы. Цель очень ясна — сделать так, чтобы фальшивый адрес появился в истории транзакций, чтобы при следующем переводе Sillytuna он мог скопировать адрес из истории, не проверяя его внимательно.

И как раз так и произошло: когда Sillytuna совершал крупный перевод, он случайно скопировал зараженный адрес. 24 миллиона долларов USDC (, конкретно aEthUSDC), были переведены прямо злоумышленнику. После этого мы увидели, что злоумышленник быстро обменял около 20 миллионов долларов на DAI, разделил их на несколько отдельных кошельков и начал перемещать средства на сеть Arbitrum — типичный подготовительный шаг перед попыткой отмывания денег.

Самое страшное здесь — это не какая-то сложная техническая уязвимость. Это полностью социальная инженерия — использование человеческой оплошности. И такие атаки становятся все более распространенными. Пока все сосредоточены на безопасности бирж или ошибках в смарт-контрактах, подобные атаки наносят гораздо больший ущерб.

По словам экспертов по безопасности, самое важное — быть бдительным. Каждый раз, когда вы переводите крупную сумму, необходимо тщательно проверять каждый символ адреса назначения — не один раз, а трижды. Лучше всего использовать адресную книгу в кошельке, где хранятся проверенные контакты, вместо копирования из истории. Еще один очень эффективный способ — отправить небольшую тестовую транзакцию. Если она дойдет правильно, можно отправлять основную сумму. Если бы Sillytuna поступил так, он мог бы избежать этой потери.

Для тех, у кого крупные активы, рекомендуется соблюдать несколько базовых мер безопасности. Во-первых, разделить холодный кошелек для хранения больших средств и горячий для ежедневных транзакций. Во-вторых, использовать мультиподписные (multisig) — чтобы любые крупные транзакции требовали нескольких одобрений. В-третьих, использовать домены ENS или псевдонимы кошельков, которые читаются буквами, а не длинными hex-строками, поскольку их сложнее подделать. В-четвертых, использовать инструменты моделирования транзакций для предварительного просмотра результата перед подписанием.

Положительный момент в том, что сообщество блокчейн активно ищет решения. Некоторые идеи включают улучшение интерфейса кошелька для выделения несоответствующих адресов или добавление предупреждающих экранов при отправке на новый адрес впервые. Но в конечном итоге безопасность должна стать естественной частью пользовательского опыта, а не поздним размышлением.

Этот случай также показывает большую проблему отслеживания украденных средств по разным цепочкам. Когда деньги перемещаются через множество блокчейнов, восстановить их практически невозможно. Единственное, что может помочь — если злоумышленник попытается обменять деньги на централизованной бирже, тогда такие компании, как PeckShield или Chainalysis, смогут пометить адреса, а биржи — заморозить средства.

Кстати, если вы станете жертвой этой мошеннической схемы, первым делом нужно сообщить в компании по обеспечению безопасности блокчейна и соответствующие биржи. Хотя восстановление средств не гарантировано, сообщение поможет пометить адрес и, возможно, помешать злоумышленнику вывести деньги.

В целом, безопасность криптовалют — это не только хранение приватных ключей в безопасности. Это также тщательная проверка каждой детали, особенно когда речь идет о больших суммах. Урок от Sillytuna — напоминание о том, что в децентрализованном мире ответственность всегда лежит на вас. Технологии дают нам невероятную свободу, но требуют и безупречной осторожности.