Fałszywy adres kosztował kryptoinwestora blisko 50 mln USDT

Dane on-chain wskazują, że inwestor najpierw wycofał środki z giełdy i wykonał przelew testowy rzędu 50 USDT, aby sprawdzić poprawność adresu. Chwilę później przestępca przesłał na jego portfel symboliczną kwotę, co spowodowało pojawienie się podrobionego adresu w sekcji ostatnich transakcji. Kiedy właściciel skopiował adres z historii, przygotowując się do wysłania pełnej kwoty, mimowolnie wybrał właśnie ten fałszywy.

Analitycy podają, że cała operacja przebiegła bardzo szybko i zakończyła się w mniej niż godzinę: po zdobyciu prawie 50 mln USDT środki zostały zamienione na DAI, następnie na 16 690 ETH, z czego około 16 680 ETH przepuszczono przez Tornado Cash w celu ukrycia trasy.

Eksperci zaznaczają, że atak typu address poisoning żeruje na zachowaniach użytkowników i interfejsach portfeli, a nie na słabościach kryptografii. Automaty generują adresy łudząco podobne – identyczne na początku i końcu – i wysyłają z nich drobne sumy, by pojawiły się w historii. To wystarcza, by ofiara skopiowała niewłaściwy adres.

Portfel oszusta, widoczny w Etherscan jako adres z prefiksem „0xBaF” i sufiksem „f8b5”, został celowo skonstruowany tak, by do złudzenia przypominać właściwy, co znacząco utrudniało jego identyfikację w interfejsach prezentujących skrócone adresy.

Po stracie środków właściciel opublikował ultimatum: zwrot 98% kwoty w ciągu 48 godzin w zamian za milion dolarów za „uczciwy” zwrot, z groźbą zgłoszenia sprawy międzynarodowym organom ścigania. Z zapisów on-chain wynika, że sprawca pozostał bierny.

Specjaliści ds. bezpieczeństwa zaznaczają, że atak ten nie wymaga kompromitacji kluczy prywatnych – wykorzystuje sposób wyświetlania adresów przez portfele oraz rutynowe zachowania użytkowników. Standardowe zalecenia obejmują ręczną kontrolę pełnego adresu, korzystanie z zaufanych interfejsów, listy zatwierdzonych adresów oraz rezygnację z polegania wyłącznie na historii transakcji przy dużych transferach.

Firmy monitorujące bezpieczeństwo zauważają, że w 2025 roku skala takich ataków wyraźnie się zwiększyła. Przestępcy wypatrują dużych transferów i wykorzystują właściwy moment, aby wstawić podrobiony adres do historii transakcji.

Sam mechanizm jest banalny: tworzony jest adres niemal identyczny z prawdziwym – z tym samym początkiem i końcówką. Po pojawieniu się w historii użytkownik, przyzwyczajony do skróconego widoku, może nieświadomie go skopiować. Badania akademickie mówią o milionach przypadków przypadkowego użycia „zatrutych” adresów oraz znaczących stratach finansowych w sieciach EVM-kompatybilnych.