Хакер украл 50 миллионов долларов у трейдера, используя визуально похожий фальшивый адрес. Атака стала возможной из-за привычки пользователей проверять только начало и конец адреса, а также из-за сокращенного отображения данных в кошельках.
Атака началась после того, как владелец кошелька, планируя крупный перевод, отправил тестовую транзакцию на сумму 50 долларов. Этот перевод активировал автоматизированный скрипт мошенника. В течение нескольких минут был создан кошелек, адрес которого визуально совпадал с адресом получателя по первым и последним символам. Затем злоумышленник отправил с этого адреса незначительную сумму на кошелек жертвы, чтобы фальшивый адрес появился в истории транзакций.
Полагаясь на привычный способ копирования адресов, жертва позже выбрала из истории поддельную запись и перевела 49 999 950 USDT на кошелек злоумышленника. Данные блокчейна показывают, что украденные средства были быстро конвертированы в Ethereum и распределены по нескольким адресам. Часть средств была отправлена в миксер Tornado Cash, инструмент, затрудняющий отслеживание транзакций.
Пострадавший предпринял попытку вернуть активы, опубликовав сообщение для хакера. В нем предлагалось оставить 1 миллион долларов в качестве награды при условии возврата остальных средств в течение 48 часов. В противном случае жертва пригрозила обратиться в международные правоохранительные органы.
Инцидент, является одним из крупнейших в своем роде. Атаки с подменой адреса эксплуатируют не технические недостатки блокчейна, а поведенческие привычки пользователей и особенности интерфейсов кошельков, которые часто отображают длинные адреса в сокращенном виде.