Ошибка стоимостью $12,4 млн

Очередное напоминание о том, что в крипте самая уязвимая часть системы — не смарт-контракт и не блокчейн, а человек.

Пользователь потерял 4 556 ETH (около $12,4 млн), попытавшись отправить средства на депозит Galaxy Digital. Вместо этого деньги ушли на адрес мошенника. Причина — классическая атака через подмену адреса (address poisoning), сработавшая из-за копирования реквизитов из истории транзакций .

Технически ничего не взламывали. Никаких эксплойтов, фишинговых сайтов или вредоносного ПО. Сработала банальная спешка и автоматизм.

Что произошло на самом деле

Пользователь хотел пополнить депозит Galaxy Digital и открыл историю транзакций в кошельке или блокчейн-эксплорере. Там он увидел знакомый адрес — тот же формат, те же первые и последние символы. Он скопировал его и отправил средства.

Victim address: https://etherscan.io/address/0xd6741220a947941bf290799811fcdcea8ae4a7da

Проблема в том, что это был не адрес Galaxy, а заранее подготовленный адрес хакера. Мошенник заранее отправил на кошелек жертвы транзакцию с нулевой суммой (или минимальной «пылью»), чтобы его адрес появился в истории операций. В нужный момент жертва просто скопировала не тот адрес. Результат — необратимый перевод на кошелек атакующего.

Как работает атака Address Poisoning

Эта схема стара как блокчейн, но до сих пор исправно собирает миллионы.

1. Генерация визуально похожего адреса
Мошенники используют специализированный софт, который перебирает миллионы вариантов, пока не найдет адрес, совпадающий с целевым по первым и последним 4-6 символам.
Пример:
0xA3F1…9C2E
0xA3F1…9C2E
Середина при этом полностью отличается, но визуально мозг ее игнорирует.

2. Засорение истории транзакций
Хакер отправляет жертве транзакцию с нулевой суммой или минимальным количеством ETH. Деньги роли не играют — важен сам факт появления адреса в истории.

3. Формирование ловушки
Адрес мошенника становится «последним активным» или просто заметным в списке транзакций. Для человека он выглядит знакомо и «уже использовался».

4. Критический момент
Жертва заходит в историю, чтобы скопировать адрес для перевода. В спешке она проверяет только начало и конец строки и нажимает Copy-Paste.

5. Необратимость
Транзакция уходит в блокчейн. Отмены нет. Поддержка не поможет. Ошибка стоит миллионы.

Почему это работает: психология, а не криптография

Человеческий мозг не читает длинные строки полностью. Он распознает паттерны. Адрес вида «0x1234…ABCD» воспринимается как «знакомый», если совпадают начало и конец. Центральную часть большинство людей просто не проверяет. Мошенники это знают и подделывают именно те фрагменты, которые человек действительно смотрит. Это не баг. Это эксплуатация особенностей восприятия.

Почему такие ошибки становятся все дороже

Раньше подобные атаки ловили пользователей на $5 000-50 000. Теперь — на десятки миллионов.

Причины просты:

• рост размеров транзакций;
• институциональные переводы;
• привычка работать быстро;
• иллюзия «я уже делал это тысячу раз».

Чем опытнее пользователь, тем опаснее автоматизм.

Как защититься: коротко и без иллюзий

Никогда не копируйте адреса из истории транзакций. Ни входящих, ни исходящих. Никогда.

Используйте адресную книгу (Whitelist). Для бирж, кастодианов, фондов и любых частых контрагентов.

Проверяйте не только начало и конец. Минимум 3-4 символа в середине строки. Это неудобно. Это дешевле, чем минус $12 млн.

Тестовая транзакция — обязательна. При крупных суммах сначала отправляется минимум. Всегда. Без исключений.

QR-коды лучше, чем Copy-Paste. Если сервис их поддерживает — используйте.

Итог

Address poisoning — это не «хитрый хак». Это атака на внимание и привычку. Блокчейн не прощает мелких ошибок. Copy-Paste в крипте — это операция повышенного риска. В этот раз цена ошибки составила 4 556 ETH. В следующий раз она может быть вашей.