Коли одна помилка коштує $50 мільйонів: Як хитрощі з адресами гаманців перехитрюють навіть обережних трейдерів

Шокуюча $50 мільйонів зникла всього за кілька секунд — не через злом або експлойти смарт-контрактів, а через обманливу просту атаку, яка використовує спосіб взаємодії людей з їхніми гаманцями. Інцидент відкриває лячну правду: звичні звички безпеки можуть стати вразливістю, коли дизайн інтерфейсу працює проти них.

Ідеальна буря: чому тестові перекази цього разу не спрацювали

Підхід жертви здавався за підручником. Перед переказом майже $50 мільйонів у USDT вони зробили невеликий тестовий переказ — практику, яку універсально рекомендують експерти з безпеки. Тестові 50 USDT пройшли бездоганно, з’явившись у їхній історії транзакцій через кілька моментів.

Саме тоді й розгорілася атака.

Аналіз на блокчейні від Lookonchain показує, що зловмисник слідкував саме за цим моментом. За кілька секунд після появи тестового переказу у історії жертви, шахрай створив підроблену фальшиву адресу. Вона мала однакові перші та останні чотири символи з легітимним гаманцем жертви. На око — особливо коли гаманці показують адреси, скорочені з «…» — підроблена адреса здавалася справжньою.

Коли користувач повернувся для виконання переказу $49,999,950 USDT, він зробив поширену помилку: скопіював адресу безпосередньо з історії транзакцій замість того, щоб витягти збережену оригінальну адресу. Один вставлений клік — і вся сума потрапила на рахунок зловмисника. Нерозривна природа блокчейну означає, що скасувати переказ було неможливо.

Отруєння адреси: атака низької складності, що працює у масштабі

Цю техніку, відому як отруєння адреси, не потрібно красти приватні ключі або маніпулювати складними смарт-контрактами. Вона використовує людську поведінку у поєднанні з дизайном інтерфейсу гаманця.

Атака працює тому, що більшість інтерфейсів гаманців скорочують адреси для зручності читання. Користувачі зазвичай перевіряють перекази, швидко поглядаючи на перші та останні символи — цілком логічний ярлик. Але зловмисники використали цю поведінку, генеруючи адреси, що імітують ці сегменти. Вони вставляли підроблену адресу у недавню історію транзакцій одразу після тестового переказу, перетворюючи зручність користувача у пастку.

Що робить цю ситуацію особливо вражаючою — її складність у поєднанні з простотою. Хоча дискусії про безпеку блокчейну часто зосереджені на вразливостях протоколу та експлоятах контрактів, отруєння адреси доводить, що іноді найруйнівніші атаки не вимагають технічної майстерності — лише розпізнавання шаблонів і правильний час.

Траєкторія грошей після пограбування: задумана зникнути

Вкрадені USDT ніколи не залишилися без діла. За кілька годин аналіз ланцюга показав ретельно сплановану схему відмивання. Зловмисник конвертував частину викрадених коштів у ETH і розподілив їх між кількома гаманцями, щоб розірвати слід. Останній крок був навмисно обдуманим: переадресація активів у Tornado Cash — сервіс приватності, що приховує походження транзакцій.

Якщо кошти потрапляють у ці протоколи приватності, їх відновлення стає практично неможливим без негайного втручання бірж або токенів управління. Швидкість і хореографія цих рухів — виконаних за кілька миттєвостей після переказу — свідчать, що ця інфраструктура була заздалегідь підготовлена і чекала на великий переказ для запуску схеми.

Чому аналітики попереджають про небезпеку

Схеми отруєння адреси зазвичай стають у новинах лише при малих сумах — їх зазвичай вважають навчальним досвідом для менш досвідчених користувачів. Ця втрата $50 мільйонів зруйнувала цю ідею.

Що здивувало дослідників безпеки — це профіль жертви. Це був не необережний новачок, що ігнорує попередження. Це був хтось, хто дотримувався найкращих практик — робив тестові перекази для перевірки адрес. Іронія у тому, що цей крок, створений для запобігання помилкам, став механізмом їхнього запуску.

Кілька секунд додаткової обережності — копіювання з оригінального збереженого джерела, а не з історії транзакцій — могли б запобігти цій втраті. Але під тиском часу і при вигляді легітимної адреси у знайомій історії, цей когнітивний ярлик переважив роздуми.

Проблема дизайну гаманця, яку ніхто повністю не вирішив

Цей інцидент підкреслює незручний конфлікт у дизайні гаманців. Скорочення адрес покращує візуальну ясність і зменшує когнітивне навантаження — корисно для щоденного використання. Але для високовартісних транзакцій те саме скорочення зменшує безпеку, дозволяючи успішно здійснювати підробку адрес у масштабі.

Деякі провайдери гаманців почали впроваджувати контрзаходи: системи попереджень про потенційне отруєння адрес, позначки адрес, що схожі з відомими, або білі списки адрес, що обмежують перекази до попередньо схвалених напрямків. Однак впровадження залишається розкиданим і непослідовним на різних платформах.

Незручний висновок: покладатися лише на візуальну перевірку — навіть за дотримання встановлених протоколів безпеки — виявилося недостатнім для великих сум. Метiculous підхід жертви не зміг подолати дизайн інтерфейсу, що зробив фальшиву адресу нерозрізненною від справжньої.

Цей випадок, ймовірно, змінить підхід галузі до захисту користувачів не від складних атак, а від перетину людської поведінки і погано спроектованих інтерфейсів безпеки.