Нещодавно я прочитав про досить страшну шахрайську схему у криптовалютному просторі. Один досить відомий інфлюенсер на X із майже 25 тисячами підписників на ім'я Sillytuna втратив 24 мільйони доларів через невелику помилку. Цю подію підтвердила компанія з безпеки блокчейну PeckShield ще минулого року, і вона дійсно варта того, щоб всі ми були обережні.

Механізм атаки досить витончений. Зловмисник створює фальшиву адресу гаманця, яка відрізняється від справжньої адреси Sillytuna лише кількома символами посередині, але перші й останні символи повністю ідентичні. Потім він надсилає невеликий безкоштовний транзакційний запис із цієї фальшивої адреси на гаманець жертви. Мета дуже ясна — зробити так, щоб фальшива адреса з’явилася у історії транзакцій, щоб коли Sillytuna наступного разу захоче переказати кошти, він скопіює адресу з історії без ретельної перевірки.

І саме так і сталося: коли Sillytuna здійснював великий переказ, він випадково скопіював заражену адресу. 24 мільйони доларів USDC (конкретно aEthUSDC) були переказані безпосередньо зловмиснику. Після цього ми побачили, як зловмисник швидко конвертує близько 20 мільйонів доларів у DAI, розподіляючи їх між кількома окремими гаманцями, а потім починає переміщення на мережу Arbitrum — типовий підготовчий крок перед спробою відмивання грошей.

Страшне тут те, що це не якась складна технічна уразливість. Це цілком соціальна техніка — використання людської недбалості. І вона стає все більш поширеною. Поки всі зосереджені на безпеці бірж або помилках у смарт-контрактах, такі атаки завдають набагато більшої шкоди.

За словами експертів з безпеки, найважливішим є пильність. Коли ви переказуєте великі суми, потрібно ретельно перевіряти кожен символ у адресі отримувача — не один раз, а тричі. Найкраще використовувати адресний список у гаманці, зберігаючи підтверджені контакти, а не копіювати з історії. Ще один дуже ефективний спосіб — зробити тестовий невеликий переказ перед основним — якщо він доходить правильно, тоді вже можна переказувати всю суму. Якби Sillytuna зробив так, він міг би уникнути цієї втрати.

Для тих, у кого великі активи, потрібно застосовувати кілька базових заходів безпеки. По-перше, розділити холодний гаманець для зберігання великих сум і гарячий для щоденних транзакцій. По-друге, використовувати мульти-підпис (multisig), щоб будь-який великий переказ потребував кількох схвалень. По-третє, застосовувати домени ENS або псевдоніми гаманців, які легко читаються літерами замість довгих hex-рядків, оскільки їх важче підробити. По-четверте, використовувати інструменти моделювання транзакцій для попереднього перегляду результату перед підписанням.

Позитив у тому, що спільнота блокчейну активно шукає рішення. Деякі ідеї включають покращення інтерфейсу гаманця для виділення невідповідних адрес або додавання попереджувальних екранів при першому надсиланні на нову адресу. Але в кінцевому підсумку безпека має стати природною частиною досвіду користувача, а не останнім думкою.

Ця історія також показує серйозну проблему відстеження викрадених коштів у різних ланцюгах. Коли гроші пересуваються через кілька блокчейнів, відновлення стає майже неможливим. Єдина можливість — якщо зловмисник спробує конвертувати гроші на централізованій біржі, тоді компанії з безпеки, такі як PeckShield або Chainalysis, зможуть позначити адресу, а біржі — заморозити їх.

До речі, якщо ви станете жертвою цієї шахрайської схеми, перше, що потрібно зробити — повідомити компанії з безпеки блокчейну та відповідні біржі. Хоча відновлення не гарантоване, повідомлення допоможе позначити адресу і можливо запобігти зняттю коштів зловмисником.

Підсумовуючи, безпека криптовалют — це не лише збереження приватних ключів у безпеці. Це також ретельна перевірка кожної деталі, особливо коли йдеться про великі суми. Урок від Sillytuna — нагадування, що у децентралізованому світі відповідальність завжди лежить на вас. Технології дають нам безпрецедентну фінансову свободу, але водночас вимагають неймовірної обережності.