Оригинальное название: «$50 млн украдены из-за невнимательной проверки адреса»
Автор оригинала: Eric, Foresight News
Вчера ранним утром по пекинскому времени ончейн-аналитик под ником Specter в X обнаружил инцидент, в котором из-за невнимательной проверки адреса перевода почти 50 миллионов USDT были отправлены на адрес хакера.
По данным, проверенным автором, этот адрес (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) примерно в 13:00 по пекинскому времени 19-го числа вывел с Binance 50 USDT для тестирования перед крупным выводом.
Примерно через 10 часов этот адрес единовременно вывел с Binance 49 999 950 USDT, что вместе с ранее выведенными 50 USDT составляет ровно 50 миллионов.
Примерно через 20 минут адрес, получивший 50 миллионов USDT, сначала перевел 50 USDT на 0xbaf4…95F8b5 для тестирования.
Менее чем через 15 минут после завершения тестового перевода хакерский адрес 0xbaff…08f8b5 отправил 0,005 USDT на адрес с оставшимися 49 999 950 USDT. Адрес, использованный хакером, очень похож на адрес, получивший 50 USDT, по началу и концу — это очевидная атака «отравления адреса».
Через 10 минут, когда адрес, начинающийся с 0xcB80, собирался перевести оставшиеся 40 с лишним миллионов USDT, возможно, по невнимательности скопировал адрес из предыдущей транзакции, то есть адрес, использованный хакером для «отравления», и напрямую отправил почти 50 миллионов USDT в руки хакера.
Как только 50 миллионов долларов оказались в руках, хакер через 30 минут начал отмывать деньги. По данным мониторинга SlowMist, хакер сначала через MetaMask обменял USDT на DAI, затем использовал все DAI для покупки примерно 16 690 Ethereum, оставил 10 ETH, а остальные Ethereum перевел в Tornado Cash.
Около 16:00 по пекинскому времени вчера жертва обратилась к хакеру в ончейн-сообщении, заявив, что уже официально возбудила уголовное дело и при содействии правоохранительных органов, кибербезопасных организаций и нескольких блокчейн-протоколов собрала большой объем надежной информации о деятельности этого хакера. Пострадавший заявил, что хакер может оставить себе 1 миллион долларов и вернуть 98% средств, и если хакер так поступит, то преследовать его не будут; в случае несотрудничества будут привлечены уголовная и гражданская ответственность через суд, а личность хакера будет раскрыта. Но на данный момент хакер никак не отреагировал.
Согласно данным, собранным платформой Arkham, этот адрес имеет записи о крупных переводах с адресами Binance, Kraken, Coinhako и Cobo. Binance, Kraken и Cobo не нуждаются в представлении, а Coinhako может быть относительно незнакомым названием. Coinhako — это сингапурская локальная криптовалютная торговая платформа, основанная в 2014 году, получившая в 2022 году от Управления денежного обращения Сингапура лицензию крупного платежного института и являющаяся регулируемой торговой платформой в Сингапуре.
Учитывая использование этим адресом нескольких торговых платформ и услуг кастодиана Cobo, а также способность в течение 24 часов после инцидента быстро связаться со всеми сторонами и завершить отслеживание хакера, автор предполагает, что этот адрес, скорее всего, принадлежит не частному лицу, а какой-то организации.
«Неосторожность» приводит к большой ошибке
Единственное объяснение успешной атаки «отравления адреса» — это «невнимательность». Такую атаку можно избежать, просто проверив адрес перед переводом еще раз, но, очевидно, герой этого инцидента пропустил этот ключевой шаг.
Атаки отравления адреса появились с 2022 года, и их происхождение связано с генератором «красивых адресов», то есть инструментом, позволяющим настраивать начало EVM-адреса. Например, сам автор может сгенерировать адрес, начинающийся с 0xeric, чтобы сделать адрес более персонализированным.
Позже хакеры обнаружили, что из-за проблем с дизайном этот инструмент позволяет подбирать приватные ключи методом грубой силы, что привело к нескольким крупным кражам средств. Но возможность генерировать настраиваемые начала и концы также натолкнула некоторых злоумышленников на «хитрую идею»: создавая адреса, похожие на начало и конец адресов, часто используемых пользователями для переводов, и переводя средства на другие адреса, часто используемые пользователями, некоторые пользователи могут по невнимательности принять хакерский адрес за свой и добровольно отправить ончейн-активы в карман хакера.
Прошлые ончейн-данные показывают, что адрес, начинающийся с 0xcB80, еще до этой атаки был одной из важных целей для отравления хакерами, и атаки отравления адреса на него начались почти год назад. По сути, этот метод атаки — это ставка хакеров на то, что однажды вы, устав проверять или по невнимательности, попадетесь. Именно эта, казалось бы, очевидная атака заставляет «рассеянных» пользователей снова и снова становиться жертвами.
Комментируя этот инцидент, сооснователь F2Pool Wang Chun в твите выразил сочувствие пострадавшему и рассказал, что в прошлом году, чтобы проверить, не произошла ли утечка приватного ключа его адреса, он перевел 500 биткойнов, после чего хакер украл 490 биткойнов. Хотя опыт Wang Chun не связан с атакой отравления адреса, он, вероятно, хотел сказать, что у каждого бывают моменты «глупости», не стоит строго судить пострадавшего за невнимательность, а следует направлять критику на хакеров.
50 миллионов долларов — немалая сумма, но это не рекорд для краж такого типа. В мае 2024 года один адрес из-за подобной атаки перевел на хакерский адрес WBTC на сумму более 70 миллионов долларов, но в конечном итоге при содействии компании безопасности Match Systems и торговой платформы Cryptex жертва через ончейн-переговоры вернула почти все средства. Однако в данном случае хакер уже быстро обменял украденные средства на ETH и перевел их в Tornado Cash, и пока неизвестно, удастся ли их вернуть.
В апреле сооснователь и главный директор по безопасности Casa Jameson Lopp предупредил, что атаки отравления адреса быстро распространяются: с 2023 года только в сети Bitcoin произошло до 48 тысяч подобных инцидентов.
Включая поддельные ссылки на Zoom-конференции в Telegram, эти методы атак нельзя назвать изощренными, но именно такая «простая» тактика атаки может заставить людей расслабить бдительность. Для нас, находящихся в «темном лесу», лишняя осторожность никогда не будет лишней.
