#EthereumWarnsonAddressPoisoning A $50M Втрата виявляє системну несправність у криптобезпеці

Недавня атака на адресу USDT на суму 50 мільйонів доларів США в Ethereum відкрила одну з найнебезпечніших і найменш помічених вразливостей у криптоекосистемі: уразливості UX гаманця та перевірки адрес, які експлуатують базову людську довіру до інтерфейсного дизайну. Ця інцидент не був результатом злома протоколу або експлуатації смарт-контракту — навпаки, він базувався на ілюзорно простій техніці, яка цілиться у те, як гаманці відображають і зберігають адреси, перетворюючи рутинну поведінку користувача у катастрофічну помилку.

У цьому високопрофільному випадку криптовалютний користувач здійснив великий переказ 49 999 950 USDT після спочатку проведеного невеликого тестового транзакції, що є стандартною практикою безпеки. Однак наступний переказ був спрямований на зловмисну адресу-двійник, яка була «отруєна» у історію транзакцій жертви через дрібні, ретельно скоординовані dust-переводи. Гаманець шахрая був сконструйований так, щоб початкові та кінцеві символи збігалися з адресою цільового отримувача, використовуючи той факт, що більшість гаманців показують урізані адреси типу «0x1234…ABCD» для зручності читання. Жертва скопіювала отруєну адресу з історії, не перевіривши повний рядок, і величезний переказ був надісланий зловмиснику.

Як тільки кошти опинилися під контролем зловмисника, процес відмивання розпочався майже одразу. Записи у блокчейні показують, що викрадені USDT були обміняні на Ethereum (ETH) і потім розподілені по кількох адресах. Частина була переміщена через Tornado Cash, сервіс для змішування приватності, що ускладнює відстеження слідів у ланцюгу, що значно ускладнює відновлення. Це швидке затемнення підкреслює, наскільки швидко зловмисники можуть експлуатувати недоліки інтерфейсу для не лише крадіжки, а й приховування викрадених активів у ланцюгу.

Експерти наголошують, що отруєння адрес — це не периферійна атака, а масштабований вектор атаки, який використовує передбачувані шаблони UX гаманців. Останні дослідження та відстеження активності у блокчейні показують, що мільйони спроб отруєння були здійснені у Ethereum та інших сумісних з EVM ланцюгах, з підтвердженими втратами у десятки мільйонів доларів і сотні тисяч постраждалих гаманців. Ці атаки базуються на інструментах, що генерують дуже схожі «подібні» адреси, часто з використанням GPU‑ускореного обчислення або технік гомогліфів, і потім розміщують ці адреси там, де недосвідчені користувачі можуть їх побачити і повторно використати.

Корінь проблеми полягає у звичках дизайну гаманців, що ставлять зручність вище за безпеку. За рахунок урізання адрес і заохочення користувачів копіювати з недавньої історії, гаманці випадково навчають користувачів довіряти частковим збігам адрес. Дослідження, що оцінювали десятки популярних Ethereum-гаманців, виявили, що дуже мало з них надають ефективні попередження або захисні заходи проти адрес із близьким збігом, залишаючи більшість користувачів — навіть досвідчених — вразливими до цієї передбачуваної людської помилки.

Після $50M втрати жертва опублікувала повідомлення у ланцюгу, пропонуючи «баг-баунті» у розмірі 1 мільйон доларів за повернення 98 % викрадених коштів у суворі строки, попереджаючи, що міжнародні правоохоронні органи та кримінальні структури вживуть заходів, якщо умови повернення не будуть виконані. Цей унікальний крок підкреслює, як отруєння адрес тепер перетинається з юридичними, репутаційними та відновлювальними аспектами, що виходять за межі технічної реакції на інцидент.

Зменшення цієї загрози вимагає поєднання заходів безпеки на рівні гаманця та дисциплінованих операційних практик. Розробники гаманців повинні перейти до моделей UX, орієнтованих на безпеку — відображати повні адреси за замовчуванням, підкреслювати відмінності символів при вставці або виборі адрес, а також позначати близькі збіги з відомими контактами. Додавання евристик для виявлення підозрілих шаблонів і чітких, незаперечних попереджень перед великими переказами може запобігти багатьом дорогим помилкам. Крім того, користувачам слід уникати копіювання адрес із історії транзакцій і використовувати безпечні адресні книги або ENS імена з підтвердженими записами.

Для інституційних власників, DAO та менеджерів казначейства тепер критично важливі стандартні операційні контролі. Це включає ручну перевірку повної адреси, підтвердження через кілька каналів (наприклад, перевірка адреси через захищене повідомлення), надійні дозволені списки та застосування багатопідписних дозволів для великих або перших транзакцій. Інструменти моніторингу у ланцюгу, що виявляють подібні адреси або підозрілу dust-активність, також можуть забезпечити раннє попередження про потенційні спроби отруєння.

Глобальний урок із цього інциденту є ясним: UX-вибори, що ставлять зручність вище за безпеку, можуть створювати передбачувані та високоефективні поверхні для атак у ворожому середовищі. Те, що раніше вважалося прийнятним дизайном гаманця — урізання, залежність від історії та часткова перевірка — тепер несе серйозні ризики, оскільки зловмисники стають більш витонченими, а інституційне впровадження зростає. Відображення та перевірка адрес мають розглядатися як критичні елементи безпеки, а не косметичні деталі. Поки гаманці, системи імен та операційні практики не адаптуються до цієї реальності, отруєння адрес-двійників залишатиметься одним із найефективніших і руйнівних способів крадіжки у криптовалюті.