10 февраля 2026 года специалисты платформы «КоинКит» зафиксировали хищение 354 287,79 USDT в сети Ethereum. Инцидент реализован по схеме «отравление адреса» (address poisoning), однако в данном случае атака была усложнена дополнительным элементом — созданием ложного подтверждения корректности перевода.
Кейс демонстрирует эволюцию UX-фишинга: злоумышленник не только внедрил подменный адрес в историю транзакций, но и имитировал «проверку» перевода, усилив доверие жертвы к мошенническому адресу.
Исходные данные
Жертва:
0xa0c77059dc988ec6eace0a2a37beab186fe10e73
Легитимный получатель (ранее использовался):
0xacb34b5f980ca170d64e8c32d77ddff98c547abe
Подменный адрес злоумышленника:
0xacb3d26e4776186feb70c74cb13b051dd1597abe
Сумма хищения:
354 287,79 USDT
Предыстория: паттерн доверия
Анализ ончейн-активности показал, что адрес жертвы ранее уже переводил средства на легитимный адрес получателя:
- 100 USDT
- 349 900 USDT
Таким образом, в истории транзакций уже присутствовал корректный адрес 0xacb34b5f980ca170d64e8c32d77ddff98c547abe. Это важно: атака строилась на повторяемом пользовательском поведении — копировании адреса из истории переводов.
Механика атаки
1. Генерация визуально схожего адреса
Злоумышленник создал адрес:
0xacb3d26e4776186feb70c74cb13b051dd1597abe
Он совпадает с легитимным по первым и последним символам:
Оригинал: 0xacb34b5f980ca170d64e8c32d77ddff98c547abe
Фейк: 0xacb3d26e4776186feb70c74cb13b051dd1597abe
Совпадение начала и окончания строки создаёт визуальный эффект «знакомого» адреса при беглом просмотре.
2. Внедрение в историю транзакций
С помощью микро-транзакций подменный адрес был внедрён в историю операций жертвы. Это классический элемент address poisoning — злоумышленник добивается того, чтобы его адрес оказался в списке недавних получателей.
На этом этапе атака могла бы завершиться обычным копированием фейкового адреса. Однако злоумышленник усилил схему.
3. Элемент ложного подтверждения
Жертва инициировала тестовый перевод 10 USDT на подменный адрес.
В ответ злоумышленник отправил 10,01 USDT на настоящий легитимный адрес получателя —
0xacb34b5f980ca170d64e8c32d77ddff98c547abe.
Это создало психологический эффект:
- жертва видит, что «всё дошло»;
- адрес в истории совпадает визуально;
- перевод подтверждён ончейн;
- тест пройден успешно.
Фактически злоумышленник имитировал корректность адреса, пожертвовав минимальной суммой ради последующего крупного хищения.
4. Основной перевод
После ложного подтверждения жертва отправила 354 287,79 USDT на адрес:
0xacb3d26e4776186feb70c74cb13b051dd1597abe
Средства были полностью получены злоумышленником.
Движение похищенных средств
После получения средств активы были консолидированы на адресе: 0x40a398ff45c453acabbda12ad3dfbf9acf4cc88f
Далее произошёл обмен через DEX-агрегатор LI.FI. USDT были конвертированы в стейблкоин DAI.
На момент анализа:
- средства остаются в форме DAI;
- вывод в микшеры (Tornado Cash, Railgun и др.) не зафиксирован;
- переводов на централизованные биржи также не обнаружено.
Это сохраняет техническую возможность блокировки средств при оперативном взаимодействии с эмитентами и инфраструктурными участниками.
Аналитический разбор: эволюция «отравления адреса»
Этот кейс показывает, что «отравление адреса» больше не ограничивается примитивной подменой строки в истории транзакций. Если раньше схема строилась на создании визуально похожего адреса и расчёте на то, что пользователь механически скопирует его из списка операций, то в данном инциденте злоумышленник пошёл дальше — он встроил в атаку полноценный элемент социальной инженерии.
Классическая модель address poisoning предполагает три шага:
- генерацию схожего адреса
- его внедрение в историю переводов жертвы
- ожидание, что при следующем переводе пользователь скопирует «знакомую» комбинацию символов.
Здесь же атака была усилена дополнительным слоем доверия. После тестового перевода мошенник сознательно отправил средства на настоящий, легитимный адрес получателя, создав иллюзию корректной проверки. В глазах жертвы адрес «сработал»: деньги дошли, движение средств видно в блокчейне, логика операции подтверждена.
«Пользователя приучили копировать адрес из истории, и ровно в этот момент его и атакуют. Ложное подтверждение перевода — не трюк, а способ снять последнее сомнение. Жертве показывают, что «всё работает как обычно». Фактически мошенник покупает доверие за 10 USDT, чтобы потом забрать сотни тысяч.»
— комментирует аналитик КоинКит
Общий вывод
Инцидент на 354 287 USDT демонстрирует, что даже опытные пользователи, ранее совершавшие крупные переводы, остаются уязвимыми перед усовершенствованными UX-атаками.
Атака не требовала эксплойта смарт-контракта, не использовала сложную криптографию и не нарушала протокольную логику. Единственной точкой отказа стал пользовательский интерфейс и доверие к истории транзакций.
Именно такие инциденты формируют современный ландшафт фишинга в Web3 — где главный вектор атаки лежит не в коде, а в поведенческой модели пользователя.
