Адреса-двійник позбавила криптотрейдера 50 млн USDT

Ончейн-записи показують, що інвестор почав з виведення коштів з біржі і перевірочного переказу близько 50 USDT, щоб переконатися в коректності адреси. Через лічені хвилини зловмисник відправив на гаманець жертви мікроскопічну суму, змусивши свою підроблену адресу з’явитися в розділі недавніх операцій. Коли пізніше власник копіював адресу з історії, щоб відправити повний баланс, він мимоволі використовував саме цей підроблений варіант.

За даними аналітиків, крадіжка розвивалася стрімко і завершилася менш ніж за годину: отримавши майже 50 млн USDT, зловмисник конвертував їх в DAI, потім – в 16 690 ETH, після чого приблизно 16 680 ETH були виведені через Tornado Cash для маскування маршруту коштів.

Дослідники підкреслюють, що «address poisoning» експлуатує особливості поведінки користувачів і дизайну гаманців, а не прогалини в криптографії. Скрипти зловмисників генерують схожі адреси – що збігаються на початку і в кінці рядка, – і відправляють з них копійки, щоб ті потрапили в список останніх транзакцій. Надалі користувач може за звичкою скопіювати саме цю фальшиву адресу.

Шахрайський гаманець, який на Etherscan відображається як рядок з початком «0xBaF» і кінцем «f8b5», був навмисно зроблений максимально схожим на справжній, що ускладнювало його розпізнавання в інтерфейсах, де адреси показуються скорочено.

Після втрати коштів власник опублікував вимогу повернути 98% суми протягом 48 годин, запропонувавши натомість мільйон доларів за «чесне» повернення і пригрозивши залученням міжнародних правоохоронних органів. Згідно з ончейн-даними, зловмисник ніяк не відреагував.

Експерти з безпеки пояснюють, що цей метод зовсім не передбачає компрометації приватних ключів – його ефективність базується на тому, як гаманці показують адреси і як користувачі копіюють їх з інтерфейсу. Рекомендації традиційні: перевіряти повну адресу вручну, користуватися довіреними інтерфейсами, створювати списки «схвалених» адрес і не орієнтуватися виключно на історію транзакцій при великих переказах.

Моніторингові фірми фіксують зростання кількості таких атак протягом 2025 року: зловмисники спостерігають за великими переміщеннями активів і вибирають відповідний час, щоб впровадити підроблену адресу в історію.

Механізм простий: створюється адреса, максимально схожа на справжню – збігається початком і кінцем рядка. Потім вона потрапляє в історію, і користувач, який звик до скороченого відображення, може вибрати саме її. Університетські дослідження відзначають мільйони зафіксованих випадково скопійованих «отруєних» адрес і великі фінансові втрати в EVM-сумісних мережах.