Użytkownik kryptowalut stracił prawie 50 milionów dolarów z powodu kosztownego błędu, polegającego na skopiowaniu spreparowanego adresu i zaufaniu wizualnemu podobieństwu. Według aktualizacji Lookonchain, ofiara skopiowała niewłaściwy adres portfela podczas dokonywania transferu kryptowalut.
Jak atakujący wykorzystał „powszechny błąd”
Warto zauważyć, że ofiara wykonała próbny przelew w wysokości 50 dolarów na swój adres, co pozwoliło oszustowi na spreparowanie portfela. Atakujący użył tych samych pierwszych i ostatnich czterech znaków, aby przeprowadzić „atak zatrucia” (poison attack).
Atak wykorzystał powszechne interfejsy portfeli, które skracają adresy dla łatwiejszego odczytu.
Spreparowany adres, który stworzył atakujący, został omyłkowo skopiowany przez ofiarę, która następnie przelała pozostałe pełne 49 999 950 dolarów. Pułapka zastawiona przez atakującego zadziałała, prowadząc do utraty środków, ponieważ transakcje blockchain są nieodwracalne.
To zdarzenie podkreśla potrzebę, aby użytkownicy zawsze weryfikowali cały adres, a nie tylko pierwsze i ostatnie znaki. Wynika to z faktu, że oszustwa polegające na zatruciu adresu znacząco wzrosły w 2025 roku, a złośliwi atakujący szukają sposobów na wykorzystanie każdego błędu właścicieli portfeli.
Eksperci zawsze odradzali „kopiowanie i wklejanie” adresów z historii transakcji dla wygody.
Taki ruch może prowadzić do skopiowania spreparowanego adresu i wysłania środków w inne miejsce. Dlatego użytkownicy są ostrzegani, aby zawsze zatrzymać się i zweryfikować wszystkie transfery co najmniej dwa razy, szczególnie te obejmujące duże kwoty.
Czy wspólne działania mogą ograniczyć nadużycia online?
Niektórzy członkowie społeczności internetowej postulują, aby sektor kryptowalut upowszechnił korzystanie z smart kontraktów i białych list adresów. Zwracają również uwagę na potrzebę prowadzenia większej liczby kampanii informacyjnych, które nieustannie edukowałyby użytkowników na temat tej podatności.
Wcześniej, w maju 2025 roku, wiodąca giełda Coinbase połączyła siły z organami ścigania, aby zapobiegać schematom spoofingu mającym na celu manipulację rynkiem. Jak podkreślił Chief Legal Officer Coinbase, Paul Grewal, schemat spoofingu był prowadzony przez Chiraga Tomara, który ukradł ponad 20 milionów dolarów od użytkowników.
Tomar podszywał się pod giełdę Coinbase, wysyłał fałszywe e-maile do nieświadomych użytkowników i fałszował oficjalną komunikację, aby oszukać ofiary. To zdarzenie pokazuje siłę wspólnych działań w walce z oszustwami w branży kryptowalut.
Zazwyczaj ci złośliwi aktorzy szukają sposobów na wykorzystanie legalnych ofert i ich klonowanie, aby oszukać użytkowników.
Może to tłumaczyć, dlaczego Binance podczas niedawnego wydarzenia w Dubaju wydało ważną aktualizację dla użytkowników. Ostrzegło, aby nie klikać w żaden link, który nie jest oficjalnym kanałem transmisji Binance Live. Rada ta miała na celu ochronę użytkowników przed atakami złośliwych osób.
