Адрес-двойник лишил криптотрейдера 50 млн USDT

Ончейн-записи показывают, что инвестор начал с вывода средств с биржи и проверочного перевода около 50 USDT, чтобы убедиться в корректности адреса. Через считаные минуты злоумышленник отправил на кошелёк жертвы микроскопическую сумму, заставив свой поддельный адрес появиться в разделе недавних операций. Когда позже владелец копировал адрес из истории, чтобы отправить полный баланс, он невольно использовал именно этот подменённый вариант.

По данным аналитиков, кража развивалась стремительно и завершилась менее чем за час: получив почти 50 млн USDT, атакующий конвертировал их в DAI, затем – в 16 690 ETH, после чего примерно 16 680 ETH были выведены через Tornado Cash для маскировки маршрута средств.

Исследователи подчёркивают, что «address poisoning» эксплуатирует особенности поведения пользователей и дизайна кошельков, а не пробелы в криптографии. Скрипты злоумышленников генерируют похожие адреса – совпадающие в начале и в конце строки, – и отправляют с них копейки, чтобы те попали в список последних транзакций. В дальнейшем пользователь может по привычке скопировать именно этот фальшивый адрес.

Мошеннический кошелёк, который на Etherscan отображается как строка с началом «0xBaF» и концом «f8b5», был намеренно сделан максимально похожим на подлинный, что осложняло его распознавание в интерфейсах, где адреса показываются сокращённо.

После потери средств владелец опубликовал требование вернуть 98% суммы в течение 48 часов, предложив взамен миллион долларов за «честный» возврат и пригрозив привлечением международных правоохранительных органов. Согласно ончейн-данным, злоумышленник никак не отреагировал.

Эксперты по безопасности поясняют, что этот метод вовсе не предполагает компрометации приватных ключей – его эффективность основана на том, как кошельки показывают адреса и как пользователи копируют их из интерфейса. Рекомендации традиционны: проверять полный адрес вручную, пользоваться доверенными интерфейсами, создавать списки «одобренных» адресов и не ориентироваться исключительно на историю транзакций при крупных переводах.

Мониторинговые фирмы фиксируют рост числа таких атак в течение 2025 года: злоумышленники наблюдают за крупными перемещениями активов и выбирают подходящее время, чтобы внедрить поддельный адрес в историю.

Механизм прост: создаётся адрес, максимально похожий на настоящий – совпадающий началом и концом строки. Затем он попадает в историю, и пользователь, привыкший к сокращённому отображению, может выбрать именно его. Университетские исследования отмечают миллионы зафиксированных случайно скопированных «отравленных» адресов и большие финансовые потери в EVM-совместимых сетях.