$50 Juta Lesap dalam Sekelip Mata: Kesilapan Salin-Tampal Alamat Wallet Mencetuskan Salah Satu Penipuan Alamat Kripto Paling Mahal

Intipati Utama:

• Pengguna kripto kehilangan hampir $50 juta dalam USDT selepas menyalin alamat dompet palsu daripada sejarah transaksi.
• Serangan menggunakan racunan alamat, mengeksploitasi antara muka dompet yang menyembunyikan bahagian tengah alamat.
• Dana dengan cepat ditukar dan dialihkan melalui berbilang dompet, dengan sebahagian dihantar ke Tornado Cash, mengehadkan pilihan pemulihan.

Satu kesilapan salin-tampal telah mengakibatkan salah satu kesilapan pengguna paling mahal yang pernah direkodkan dalam rantaian. Insiden ini menyerlahkan bagaimana tabiat antara muka yang mudah boleh mengatasi tingkah laku berhati-hati dan membawa kepada kerugian yang tidak dapat dipulihkan.

Bagaimana Pemindahan Ujian Rutin Bertukar Menjadi Kerugian $50 Juta

Menurut penyiasat dalam rantaian, termasuk Lookonchain, mangsa bermula dengan langkah yang dianggap amalan terbaik oleh ramai pengguna berpengalaman: transaksi ujian kecil. Pengguna menghantar 50 USDT ke alamat dompet peribadi yang biasa untuk mengesahkan ketepatan sebelum memindahkan jumlah yang lebih besar.

Namun, pemindahan ujian itu menjadi pencetus.

Dalam masa beberapa saat, penipu melancarkan taktik racunan alamat. Penyerang mencipta alamat dompet yang mempunyai empat digit pertama dan terakhir yang sama dengan alamat sebenar mangsa. Transaksi kecil kemudian dihantar kepada mangsa pada alamat ini yang kelihatan seperti alamat sebenar, memastikan ia akan direkodkan dalam sejarah transaksi dompet.

Apabila mangsa kembali untuk melengkapkan pemindahan utama: 49,999,950 USDT, mereka menyalin alamat daripada sejarah transaksi dan bukannya sumber simpanan asal. Kerana kebanyakan antara muka dompet memendekkan alamat dengan "…", alamat palsu kelihatan sah sepintas lalu. Wang telah dipindahkan sekaligus dan secara kekal kepada penggodam.

Baca Lagi: Pi Network Bendera Dompet Penipuan Di Tengah Risiko Token $346 Juta Semasa 60 Juta Pengguna Menunggu Pembukaan

Racunan Alamat: Serangan Teknologi Rendah Dengan Impak Tinggi

Tidak perlu menggodam kunci peribadi atau menggunakan kontrak pintar. Ia bergantung pada antara muka dan tingkah laku manusia.

Mengapa Serangan Ini Masih Berkesan Pada Skala Besar

Kebanyakan dompet memendekkan alamat untuk meningkatkan kebolehbacaan. Pemindahan sering diperiksa oleh pengguna dengan menyemak alamat pertama dan terakhir. Ini disalahgunakan oleh penyerang yang menjana alamat yang mencerminkan aksara yang kelihatan tersebut.

Dalam kes ini, penipu melakukan ini sejurus selepas transaksi ujian dan ia menandakan pemantauan automatik. Penyerang menyembunyikan alasan yang lebih baik untuk berhati-hati dengan kemudahan dengan meletakkan alamat yang hampir sama dalam sejarah transaksi mangsa.

Kaedah ini dianggap asas berbanding dengan eksploitasi DeFi yang kompleks. Namun hasil menunjukkan bahawa penipuan "mudah" pun boleh menghasilkan kerugian malapetaka apabila jumlah besar terlibat.

Pergerakan Dalam Rantaian Selepas Kecurian

Rekod blockchain menunjukkan bahawa USDT yang dicuri tidak kekal terbiar. Penyerang dengan cepat menukar sebahagian daripada dana kepada ETH dan menghantarnya ke beberapa dompet, yang biasa untuk mengurangkan kebolehkesanan.

Aset kemudiannya dipindahkan ke Tornado Cash, pencampur privasi yang menyembunyikan jejak pemindahan. Sebaik sahaja wang dilaburkan dalam perkhidmatan sedemikian, pemulihan amat tidak mungkin tanpa tindakan segera daripada bursa atau pengesah.

Rantaian dompet digambarkan oleh penganalisis yang mendakwa ia cekap dan dirancang terlebih dahulu bermakna penipu sudah bersedia untuk bertindak sebaik sahaja pemindahan besar dibuat.

Mengapa Kes Ini Mengejutkan Penganalisis

Racunan alamat dikenali secara meluas dan sering dibincangkan sebagai penipuan gangguan yang melibatkan jumlah kecil. Apa yang membuat kes ini menonjol ialah skala dan profil kesilapan.

Mangsa mengikuti langkah keselamatan biasa dengan menguji dengan pemindahan kecil. Ironinya, tindakan itu memberi isyarat yang diperlukan penyerang untuk melancarkan alamat palsu pada masa yang tepat.

Pemerhati dalam rantaian menyatakan bahawa hanya beberapa saat yang dihabiskan untuk menyalin alamat daripada sumber asal, dan bukannya sejarah transaksi akan menghalang kerugian sepenuhnya. Kelajuan kemuktamadan blockchain tidak meninggalkan ruang untuk pembalikan.

Baca Lagi: Shenzhen Mengeluarkan Amaran Penipuan Kripto Ketika Penipuan Stablecoin Bertambah Di Seluruh China

Reka Bentuk Dompet dan Faktor Manusia

Insiden ini menimbulkan persoalan tentang pilihan UX dompet. Alamat yang dipendekkan meningkatkan kejelasan visual tetapi mengurangkan keselamatan untuk pengguna yang mengendalikan jumlah yang besar.

Sesetengah dompet kini memberi amaran kepada pengguna tentang racunan alamat atau menandakan alamat yang hampir menyerupai yang dikenali. Yang lain menawarkan senarai putih alamat, di mana pemindahan dihadkan kepada alamat yang telah diluluskan terlebih dahulu. Namun, penggunaan ciri-ciri ini masih tidak konsisten.

Untuk pemindahan bernilai tinggi, pergantungan pada pemeriksaan visual sahaja telah terbukti tidak mencukupi. Kes ini menunjukkan bagaimana pengguna berpengalaman pun boleh jatuh ke dalam corak yang boleh diramal di bawah tekanan masa.

Catatan $50 Juta Hilang Dalam Beberapa Saat: Kesilapan Dompet Salin-Tampal Mencetuskan Salah Satu Penipuan Alamat Kripto Paling Mahal muncul pertama kali di CryptoNinjas.