1 tydzień temu
Anonimowy użytkownik padł ofiarą tzw. zatrucia adresu portfela. Atak oszustów kosztował go 68 milionów dolarów. Udało im się zdobyć tokeny WBTC ofiary, które są „opakowaną” wersją Bitcoina w innych blockchainach. Informacją o incydencie podzielili się pracownicy zespołu Cyvers – firmy zajmującej się bezpieczeństwem transakcji w blockchainach.
ALERTAre we mistaken, or has someone truly lost $68M worth of $WBTC? Our system has detected another address falling victim to address poisoning, losing 1155 $WBTC.
Victim: https://t.co/5NKlOFnepJ
Address poisoner: https://t.co/R6fF0QipBH
Poison transaction:… pic.twitter.com/UpG34ZcZvY
Wcześniej pracownicy amerykańskiej Drug Enforcement Administration (DEA) dali się nabrać na podobną sztuczkę. Następnie stracili około 55 000 USD w kryptowalutach – mówimy o skonfiskowanych aktywach, które oszuści ukradli podczas transferu między portfelami organów ścigania.
Na szczęście przed atakiem można się realnie zabezpieczyć. Wystarczy korzystać z portfeli sprzętowych, takich jak np. Ledger. Ze względu na ekran, który jest odizolowany od Internetu, pokazują one rzeczywiste dane transakcji przed jej przeprowadzeniem. Dlatego też użytkownik powinien dokładnie sprawdzić kombinacje przed podpisaniem konkretnego przelewu.
Czym jest “zatrucie” adresu w kryptowalutach?
Atak typu „address poisoning”, znany również jako spoofing portfela kryptowalutowego, opiera się na nieuwadze. Atakujący bada aktywność ofiary i wybiera adresy, na które może ona wysyłać kolejne transakcje. Następnie, przy użyciu specjalnego oprogramowania, oszust tworzy nowy portfel, którego adres ma te same pierwsze i ostatnie kilka znaków, co adresy, z którymi wchodzi w interakcję potencjalna ofiara.
Następnie wysyła niewielki przelew z nowego adresu. Jego zadaniem jest przedostanie się do historii transakcji potencjalnej ofiary. Ofiara musi potem skopiować adres z historii przelewów, nie zweryfikować go do końca i wysłać tam kryptowaluty. Choć schemat w ogólnym rozrachunku brzmi skomplikowanie, to naprawdę działa, a ofiary tracą na podobnych działaniach miliony dolarów.
Publiczne adresy portfeli kryptowalut to długie kombinacje liter i cyfr, które są prawie niemożliwe do zapamiętania. Mając to na uwadze, użytkownicy kryptowalut najczęściej skupiają się na pierwszych i ostatnich znakach adresu podczas przeprowadzania kolejnej transakcji.
Wspomniany we wstępie inwestor stracił prawie wszystkie swoje środki, ponieważ transakcja o wartości 68 milionów dolarów stanowiła 97 procent całkowitej wartości zawartości jego portfela. Zrzut ekranu z transferu został udostępniony na Twitterze przez analityków Cyvers. Oto jak skomentowali sytuację:
“Mylimy się, czy ktoś naprawdę stracił 68 milionów dolarów w WBTC? Nasz system wykrył kolejny portfel, który padł ofiarą zatrucia adresu. Stracił on 1155 WBTC.”
Jak już zauważyliśmy, WBTC to token oparty na Bitcoinie w różnych blockchainach, którego wartość jest powiązana z pierwszą kryptowalutą. 1115 BTC to ogromna kwota – choćby dla wielorybów. Statystyki salda portfela widać na poniższym zrzucie ekranu. Widoczny jest też moment fatalnej transakcji.
Jak widać, oszuści uciekają się do różnych sposobów kradzieży środków. Jednak spoofing adresów zwykle nie jest zjawiskiem masowym i jest skierowany do inwestorów z dużymi saldami. Jest to więc kolejne przypomnienie, jak ważna jest ostrożna interakcja z blockchainem, a także przechowywanie kapitału na różnych portfelach.
Transakcje w popularnych blockchainach nie mogą być anulowane. Oznacza to, iż takiego błędu nie da się cofnąć.
Scam ZKasino rozbity
Na szczęście niektórzy oszuści w świecie kryptowalut otrzymują karę, na którą zasługują. W tym tygodniu holenderskie organy ścigania aresztowały 26-letniego podejrzanego. Miał on prowadzić scam ZKasino – projekt, który bez wiedzy inwestorów zmienił warunki otrzymania natywnego tokena projektu.
Zainwestowane w staking środki otrzymane od użytkowników nie zostały wykorzystane zgodnie z ich przeznaczeniem. Straty szacuje się na ponad 33 miliony dolarów.
Holenderska Służba Informacji i Dochodzeń Skarbowych (FIOD) podczas przeszukania znalazła portfele sprzętowe z kluczami prywatnymi do adresów z ogromną ilością monet. Ponadto zajęto nieruchomości, samochody i inne aktywa o wartości ponad 12,2 miliona dolarów.
Pierwsze podejrzenia dotyczące projektu ZKasino pojawiły się już w połowie kwietnia, kiedy to projekt przeniósł wszystkie zebrane 10515 ETH do stakingu na platformie Lido. W ten sposób oszuści sprzeniewierzyli środki użytkowników, a za postawioną kryptowalutę otrzymali nagrody.
Ponadto dzień wcześniej okazało się, iż projekt domagał się finansowania z funduszy, które w rzeczywistości nie zainwestowały w ZKasino.
Przedstawiciele FIOD nie ujawnili jeszcze tożsamości aresztowanej osoby. Grożą mu zarzuty oszustwa, defraudacji i prania brudnych pieniędzy.
ZKasino to tylko niewielka część ogromnej liczby fałszywych i potencjalnie niewiarygodnych projektów kryptowalutowych. Chociaż straty spowodowane złośliwą działalnością w kwietniu były najniższe od trzech lat, wraz ze wzrostem popularności kryptowalut, ofiar oszustw będzie coraz więcej.
BeInCrypto Polska - Stracił 68 mln USD przez “zatruty” adres Bitcoina
