Ван Чунь тоже стал жертвой: «плата за обучение» в 50 миллионов долларов. Почему отравление адресов так эффективно?

Оригинальное название статьи: «50 миллионов долларов украдены из-за отсутствия двойной проверки адреса»

Автор статьи: Эрик, Foresight News

Вчера утром по пекинскому времени блокчейн-аналитик по имени Specter обнаружил случай, когда почти 50 миллионов the USDT были переведены на адрес хакера из-за отсутствия тщательной проверки адреса.

Согласно расследованию автора, адрес (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) вывел 50 USDT с Binance для крупного тестового вывода около 13:00 19-го числа по пекинскому времени.

Примерно через 10 часов адрес вывел 49 999 950 USDT одной транзакцией с Binance, добавив их к предыдущим 50 USDT, что в сумме составило ровно 50 миллионов.

Примерно через 20 минут адрес, получивший 50 миллионов USDT, сначала перевел 50 USDT на адрес 0xbaf4…95F8b5 в тестовых целях.

Менее чем через 15 минут после тестовой транзакции адрес хакера 0xbaff…08f8b5 перевел 0,005 USDT на адрес, удерживающий оставшиеся 49 999 950 USDT. Адрес хакера, использованный для перевода, имел очень похожее начало и конец по сравнению с адресом, который получил 50 USDT, что указывает на явную атаку «отравления адреса».

10 минут спустя, когда адрес, начинающийся с 0xcB80, попытался перевести оставшиеся 40+ миллионов USDT, возможно, из-за небрежности, он ошибочно скопировал предыдущую транзакцию, то есть адрес, использованный хакером для «отравления», и напрямую отправил почти 50 миллионов USDT хакеру.

Получив 50 миллионов долларов, хакер начал отмывание средств всего через 30 минут. Согласно мониторингу SlowMist, хакер сначала конвертировал USDT в DAI через MetaMask, затем использовал все DAI для покупки примерно 16 690 ethereum-eth-143">Эфириум, оставив 10 ETH и переведя оставшийся Эфириум в Tornado Cash.

Вчера около 16:00 (по пекинскому времени) жертва обратилась к хакеру в сети, заявив, что уголовное дело было официально возбуждено. При содействии правоохранительных органов, организаций по кибербезопасности и нескольких блокчейн-протоколов была собрана значительная часть достоверной информации о деятельности хакера. Жертва заявила, что хакер может оставить себе 1 миллион долларов и вернуть оставшиеся 98% средств. Если хакер выполнит требования, дальнейших действий не последует; однако, если хакер не пойдет на сотрудничество, его будут преследовать по закону для привлечения к уголовной и гражданской ответственности, а личность хакера будет публично раскрыта. На данный момент хакер не предпринял никаких действий.

Согласно данным, собранным платформой Arkham, этот адрес имеет записи о крупных переводах с Binance, Kraken, Coinhako и Cobo. Хотя Binance, Kraken и Cobo хорошо известны, Coinhako может быть менее знакомым названием. Coinhako — это местная сингапурская криптобиржа, основанная в 2014 году. В 2022 году она получила лицензию крупного платежного учреждения от Валютного управления Сингапура, что делает ее регулируемой биржей в Сингапуре.

Учитывая, что этот адрес взаимодействовал с несколькими биржами и кастодиальными сервисами Cobo и продемонстрировал способность быстро связаться с различными сторонами для отслеживания хакера в течение 24 часов после инцидента, автор предполагает, что этот адрес, скорее всего, принадлежит организации, а не частному лицу.

From "Oops" to a Costly Mistake

Единственное объяснение успешной атаки «отравления адреса» — это «небрежность». Такие атаки можно легко избежать, дважды проверив адрес перед транзакцией, но, очевидно, центральная фигура в этом инциденте пропустила этот важный шаг.

Атаки «отравления адресов» появились в 2022 году, история берет начало от генератора «красивых адресов», инструмента, который позволяет настраивать префикс EVM-адреса. Например, автор мог сгенерировать адрес, начинающийся с 0xeric, чтобы сделать его более узнаваемым.

Позже хакер обнаружил, что из-за ошибки в дизайне этот инструмент может подбирать private key методом перебора, что привело к нескольким крупным кражам средств. Однако возможность генерировать адреса с настраиваемыми префиксами и суффиксами также породила зловещую идею: создавая адреса, похожие на начало и конец часто используемого пользователем адреса для перевода, и переводя средства на другой адрес, используемый пользователем, некоторые люди могут по ошибке отправить свои активы в сети на адрес хакера, приняв его за свой из-за небрежности.

Исторические данные в сети показывают, что адрес, начинающийся с 0xcB80, был одной из ключевых целей для «отравления адреса» хакером до этой атаки, причем атака началась почти год назад. Этот метод атаки фундаментально опирается на то, что хакер делает ставку на то, что однажды вы попадетесь на уловку из-за лени или невнимательности. По иронии судьбы, этот откровенно очевидный метод атаки привел к тому, что все больше «небрежных» людей становятся жертвами.

В ответ на этот инцидент соучредитель F2Pool Ван Чунь выразил сочувствие жертвам. Он упомянул, что в прошлом году, чтобы проверить, не произошла ли утечка его приватного ключа, он отправил на него 500 Bitcoin, только чтобы 490 Биткоинов были украдены хакерами. Хотя опыт Ван Чуня напрямую не связан с атаками «отравления адресов», он, вероятно, хотел донести, что у каждого бывают моменты упущения, и не стоит винить жертв за их небрежность, а скорее стоит указывать пальцем на хакеров.

Потеря в 50 миллионов долларов — это немалая сумма, но это не самая большая сумма, украденная в подобных атаках. В мае 2024 года адрес стал жертвой аналогичной атаки, когда более 70 миллионов долларов в обернутом Биткоине (WBTC) были отправлены на адрес хакера. Однако жертва в конечном итоге вернула почти все средства через переговоры в сети при содействии фирм по безопасности и торговой платформы Cryptex. В этом недавнем инциденте хакер быстро конвертировал украденные средства в Эфириум и перевел их в Tornado Cash, что делает возможность восстановления неопределенной.

Соучредитель и директор по безопасности Casa Джеймсон Лопп предупредил в апреле, что атаки «отравления адресов» быстро распространяются, причем с 2023 года в сети Биткоин произошло более 48 000 таких инцидентов.

Эти методы атаки, включая поддельные ссылки на встречи в Zoom в Telegram, не являются сложными, но именно этот «простой» подход может застать людей врасплох. Для тех из нас, кто находится в темном лесу, всегда лучше быть предельно осторожными.

Original Article Link