Як криптотрейдер втратив 50 мільйонів через найпростіший трюк

Історія, що трапилася 20 грудня, показує, наскільки вразливою може бути навіть опанована криптотрейдер перед елементарною людською помилкою. Один відомий трейдер позбувся майже 50 мільйонів доларів у USDT в одній транзакції, ставши жертвою добре спланованої атаки, яка не вимагала ніякого вишуканого програмного забезпечення чи нульових уразливостей. Замість цього зловмисник використав те, що криптотрейдери роблять щодня — копіювання адреси з історії транзакцій.

Механізм отруєння адреси: коли інтерфейс стає супротивником

Атака починається з найпростішого спостереження. Ончейн-дослідник Specter проаналізував випадок і розповів деталі: жертва спочатку здійснила тестову операцію на 50 USDT на свою легітимну адресу гаманця. Це була стандартна практика перед великим переводом. Але цей невеликий рух став сигналом для зловмисника.

Шахрайник негайно згенерував персоналізовану фальшиву адресу, яка збігалася з першими чотирма та останніми чотирма символами оригіналу. З першого погляду адреси виглядали ідентично — і це не випадково. Переважна більшість криптогаманців і блокчейн-оглядачів відображають адреси скорочено: 0xBAF4…F8B5. Три крапки посередині приховують більшість символів, тому підроблена адреса виглядала як копія.

Як зловмисник "замаскував" фальшиву адресу

Наступний крок був особливо навіальним. Зловмисник відправив невелику суму криптовалюти з цієї поддельної адреси жертві — практика, відома як "отруєння" історії транзакцій. Тепер фальшива адреса з'явилася у розділі останніх операцій жертви, поряд з легітимною адресою.

Коли криптотрейдер вирішив перевести основну суму в 49,999,950 USDT, він скористався звичкою, якої дотримуються мільйони користувачів: просто скопіював адресу з меню "Останні операції" без перевірки. Він не звернув уваги, що копіював не ту адресу. Інтерфейс перемістив його в пастку.

Від USDT до Tornado Cash: шлях украдених активів

Потім все розвивалося із змоленною швидкістю. Протягом 30 хвилин після отруйної атаки почалася ланцюжок конвертацій: майже 50 мільйонів USDT обміняли на стейблкоін DAI, потім конвертували приблизно в 16,690 ETH. Під кінець активи були відправлені через Tornado Cash — популярний сервіс змішування коштів, який ускладнює відстеження походження криптовалюти.

Усвідомивши катастрофу, відчайдушна жертва спробувала останню лінію захисту: відправила ончейн-повідомлення зловмиснику з пропозицією "білої" винагороди в 1 мільйон доларів за повернення 98% коштів. Це був розрахунок на честь серед злодіїв, але станом на 21 грудня ця стратегія не спрацювала. Активи так і залишилися у власності шахрайника.

Коментарі експертів: як це могло сталося

Specter висловив глибокий жаль з приводу випадку, відзначивши, що криптотрейдер втратив кошти "з причини, яка найменше могла б призвести до такої великої втрати". У розмові з іншим дослідником ZachXBT він наголосив: "Таку величезну суму було втрачено через просту помилку. Все це можна було б уникнути за декілька секунд, якби адресу було скопійовано з правильного джерела, а не з історії операцій."

Це висловлює глибоку іронію ситуації: навичка, яка економить час — копіювання з останніх операцій — виявилася найбільшим ризиком.

Захист криптотрейдера: як не потрапити в ту саму пастку

Експерти з безпеки наголошують, що зі зростанням вартості криптовалют такі низькотехнологічні, проте високоприбуткові атаки стають дедалі поширенішими. Вони рекомендують криптотрейдерам дотримуватися кількох простих, але критично важливих правил:

1. Завжди отримуйте адресу з вкладки "Отримати" Не копіюйте з історії операцій. Цей шлях — найбільша пастка. Вкладка "Отримати" гарантує оригінальність адреси.

2. Додавайте довірені адреси до білого списку Більшість якісних гаманців дозволяють створювати білий список адрес для повторних операцій. Це є підстраховкою від помилок при ручному введенні.

3. Використовуйте апаратні гаманці з верифікацією Деякі гаджети вимагають фізичного підтвердження повної цільової адреси перед відправленням. Це забезпечує критично важливий другий рівень перевірки, який неможливо обійти.

4. Перевіряйте адресу повністю, а не скорочену версію Не покладайтеся на перші і останні символи. Відкрийте адресу в повному вигляді й перевірте кілька символів з середини.

5. Проводьте тестові операції на невеликі суми Як це робила жертва на 50 USDT, проте переконайтеся, що тестова адреса дійсно легітимна, перш ніж переводити основну суму.

Історія цього криптотрейдера служить суворим нагадуванням: у світі цифрових активів, де помилка коштує мільйони, найважливіша лінія захисту — не технологія, а звичайна людська обережність.