Ще одне нагадування: у криптовалюті найвразливіша частина системи — не смарт-контракт і не блокчейн, а людина.
Користувач втратив 4 556 ETH (близько $12,4 млн), намагаючись відправити кошти на депозит Galaxy Digital. Натомість гроші пішли на адресу шахрая. Причина — класична атака через підміну адреси (address poisoning), що спрацювала через копіювання реквізитів із історії транзакцій.
Технічно нічого не зламали. Жодних експлойтів, фішингових сайтів або шкідливого ПЗ. Спрацювала банальна поспішність і автоматизм.
Що сталося насправді
Користувач хотів поповнити депозит Galaxy Digital і відкрив історію транзакцій у гаманці або блокчейн-експлорері. Там він побачив знайому адресу — той же формат, ті ж перші та останні символи. Він скопіював її і надіслав кошти.
Victim address: https://etherscan.io/address/0xd6741220a947941bf290799811fcdcea8ae4a7da
Проблема в тому, що це була не адреса Galaxy, а заздалегідь підготовлена адреса хакера. Мошенник заздалегідь надіслав на гаманець жертви транзакцію з нульовою сумою (або мінімальним «пилом»), щоб його адреса з’явилася в історії операцій. У потрібний момент жертва просто скопіювала не той адрес. Результат — необоротний переказ на гаманець атакуючого.
Як працює атака Address Poisoning
Схема стара як блокчейн, але досі збирає мільйони.
1. Генерація візуально схожої адреси
Шахраї використовують спеціалізований софт, який перебирає мільйони варіантів, поки не знайде адресу, що збігається з цільовою по перших та останніх 4–6 символах.
Приклад:
0xA3F1…9C2E
0xA3F1…9C2E
Середина при цьому повністю відрізняється, але мозок її ігнорує.
2. Засмічення історії транзакцій
Хакер надсилає жертві транзакцію з нульовою сумою або мінімальною кількістю ETH. Гроші не важливі — важливий факт появи адреси в історії.
3. Формування пастки
Адреса шахрая стає «останньо активною» або просто помітною в списку транзакцій. Для людини вона виглядає знайомо і «вже використовувалась».
4. Критичний момент
Жертва заходить в історію, щоб скопіювати адресу для переказу. У поспіху перевіряє тільки початок і кінець рядка і натискає Copy-Paste.
5. Необоротність
Транзакція йде в блокчейн. Відмінити її неможливо. Підтримка не допоможе. Помилка коштує мільйони.
Чому це працює: психологія, а не криптографія
Людський мозок не читає довгі рядки повністю. Він розпізнає патерни. Адреса виду «0x1234…ABCD» сприймається як «знайома», якщо збігаються початок і кінець. Центральну частину більшість людей не перевіряє. Шахраї це знають і підробляють саме ті фрагменти, які людина реально бачить. Це не баг, а експлуатація особливостей сприйняття.
Чому такі помилки стають дорожчими
Раніше такі атаки коштували користувачам $5 000–50 000. Тепер — десятки мільйонів.
Причини:
- зростання обсягів транзакцій;
- інституційні перекази;
- звичка працювати швидко;
- ілюзія «я вже робив це тисячу разів».
Чим досвідченіший користувач, тим небезпечніший автоматизм.
Як захиститися
Ніколи не копіюйте адреси з історії транзакцій. Ні вхідних, ні вихідних.
Використовуйте адресну книгу (Whitelist). Для бірж, кастодіанів, фондів та частих контрагентів.
Перевіряйте не лише початок і кінець. Мінімум 3–4 символи в середині рядка.
Тестова транзакція — обов’язкова. При великих суммах спершу надсилайте мінімум. Завжди.
QR-коди краще, ніж Copy-Paste. Якщо сервіс їх підтримує — використовуйте.
Висновок
Address poisoning — це не «хитрий хак». Це атака на увагу і звичку. Блокчейн не прощає дрібних помилок. Copy-Paste у крипті — операція підвищеного ризику. Цього разу ціна помилки — 4 556 ETH. Наступного разу — може бути ваша.
ВІДМОВА ВІД ВІД ВІДПОВІДАЛЬНОСТІ: Усі матеріали, представлені на цьому сайті (https://wildinwest.com/), включно з вкладеннями, посиланнями або матеріалами, на які посилається компанія, призначено винятково для інформаційних і розважальних цілей, і їх не слід розглядати як фінансову консультацію. Матеріали третіх осіб залишаються власністю їхніх відповідних власників.