Isang crypto trader ang nawalan ng halos $50 milyon sa isang transaksyon noong Disyembre 20, matapos maging biktima ng isang komplikadong “address poisoning” na pag-atake. Sa insidenteng ito, 49,999,950 USDT ang direktang nailipat sa wallet ng scammer, na nagbunyag ng lumalalang krisis sa seguridad kung saan ginagamit ng mga high-tech na magnanakaw ang mga simpleng gawi ng tao at limitasyon ng user interface para umatake.
Ayon sa on-chain investigator na si Specter, habang sinusubukan ng biktima na ilipat ang pondo mula sa exchange papunta sa personal na wallet, una siyang nagpadala ng 50 USDT bilang test transaction sa kanyang lehitimong address. Napansin ito ng attacker, na agad namang gumawa ng “pekeng” personalized address na tumutugma sa unang apat at huling apat na character ng lehitimong wallet ng biktima.
Magbasa pa: Crypto Scams sa 2025: Paano Matukoy at Protektahan ang Iyong Sarili
Pagkatapos, nagpadala ang attacker ng maliit na halaga ng crypto mula sa pekeng address papunta sa biktima, na epektibong “nilason” ang transaction history ng user. Sa sumunod na talakayan, ipinahayag ni Specter ang kanyang panghihinayang para sa trader na nawalan ng pondo dahil sa “pinaka-imposibleng dahilan na magdulot ng ganitong kalaking pagkalugi.” Sa tugon ng kapwa investigator na si ZachXBT, na nagpahayag ng simpatiya sa biktima, sinabi ni Specter:
“Ito ang dahilan kung bakit ako napapatahimik—isang simpleng pagkakamali ang nagdulot ng napakalaking pagkalugi. Ilang segundo lang ang kailangan para kopyahin at i-paste ang address mula sa tamang pinagmulan, hindi mula sa transaction history. Nasira ang Pasko.”
Dahil karamihan sa mga modernong crypto wallet at block explorer ay pinaiikli ang mahahabang alphanumeric string—nagpapakita ng ellipsis sa gitna (halimbawa, 0xBAF4…F8B5)—ang pekeng address ay mukhang eksaktong kapareho ng address ng biktima sa unang tingin. Kaya, nang ipagpatuloy ng biktima ang paglilipat ng natitirang 49,999,950 USDT, sinunod niya ang karaniwang gawi: kinopya ang recipient address mula sa kamakailang transaction history, imbes na kunin ito mula sa source.
Sa loob ng 30 minuto matapos ang poisoning attack, halos $50 milyon na USDT ang na-convert sa stablecoin na DAI, pagkatapos ay naging humigit-kumulang 16,690 ETH, at nilabhan sa pamamagitan ng Tornado Cash. Nang mapagtanto ang nangyari, nagpadala ang desperadong biktima ng on-chain message sa attacker, nag-aalok ng $1 milyon na white hat bounty kapalit ng pagbabalik ng 98% ng pondo. Hanggang Disyembre 21, hindi pa rin nababawi ang mga asset na ito.
Nagbabala ang mga eksperto sa seguridad na habang tumataas ang halaga ng crypto assets, lalong dumarami ang ganitong low-tech ngunit high-reward na “poisoning” scams. Upang makaiwas sa kaparehong kapalaran, pinapayuhan ang mga holder na laging kunin ang recipient address direkta mula sa “receive” tab ng kanilang wallet.
Dapat ilagay ng mga user sa whitelist ang mga trusted address sa kanilang wallet upang maiwasan ang manual input errors. Dapat din nilang isaalang-alang ang paggamit ng mga device na nangangailangan ng physical confirmation ng buong target address, upang magkaroon ng mahalagang pangalawang layer ng pagsusuri.
- Ano ang nangyari sa pag-atake noong Disyembre 20? Isang trader ang nawalan ng halos $50 milyon USDT dahil sa address poisoning scam.
- Paano gumagana ang scam? Gumawa ang attacker ng pekeng wallet address na, kapag pinaikli, ay mukhang eksaktong kapareho ng tunay na address.
- Saan nailipat ang ninakaw na crypto? Nilabhan ang pondo sa pamamagitan ng DAI, na-convert sa ETH, at inilipat gamit ang Tornado Cash.
- Paano mapoprotektahan ng mga trader ang kanilang sarili?
Laging kopyahin ang address mula sa “receive” tab ng wallet at i-whitelist ang mga trusted account.
