Недавно в новостных источниках в сфере криптовалют появилась информация о хищении криптовалюты в USDT-TRC20. 13 ноября 2024 года пользователь криптокошелька TGrS7QNCf85X2B6ddvGZY2MF9VwvFn6XAE отправил $129 млн, скопировав адрес из истории выводов. Но адрес оказался классическим мошенничеством с подменой.
Потерпевший отправил криптовалюту на адрес TMStAjRQHDZ8b3dyXPjBv9CNR3ce6q1bu8, после чего ему поступила транзакция с адреса THcTxQi3N8wQ13fwntF7a3M88BEi6q1bu8, несколькими символами похожего на ранее использованный. Впоследствии пользователь для отправки крупной суммы скопировал из истории выводов не тот криптокошелек и $129 млн по ошибке попали незнакомому контрагенту. Можно предположить, что это было умышленная фишинг-атака, однако потерпевший получил возврат криптовалюты на свой кошелек в течении дня после ошибки.
В этом материале будет рассмотрена закономерность отравление адресов пылевыми транзакциями на примере адреса TGrS7QNCf85X2B6ddvGZY2MF9VwvFn6XAE.
Методы фишинг-мошенника
💠 Пылевые атаки (или «dusting attacks») — это метод отправки минимальных объемов монет или токенов, называемых «пыль» (или «dust»), на множество адресов в сети. Такие атаки не всегда угрожают безопасности криптокошелька и могут быть использованы в качестве рекламного хода, но в руках злоумышленников такие транзакции становятся «проверкой на внимательность». В этом случае такие атаки могут выступать в качестве более сложной схемы, которую по-другому называют «атака отравленными адресами».
💠 Атака отравленными адресами — это способ манипуляции транзакциями пользователя. Злоумышленники создают адреса похожие по структуре на кошельки из истории транзакций пользователя через специальные сервисы, позволяющие контролировать структуру адреса. Затем с поддельного адреса отсылают «пыль» на адрес предполагаемой жертвы и ожидают дальнейших действий со стороны пользователя.
Злоумышленник рассчитывает на невнимательность владельца криптокошелька, так как известно, что нередко адрес для переводов копируется из истории транзакций пользователя. Таким образом, если отправитель не сверил все символы адреса, а ограничился только несколькими первыми или последними символами, криптовалюта может поступить на кошелек злоумышленников.
Детали расследования
➯ Ошибкочная транзакция
Изначально, владелец адреса TGrS7QNCf85X2B6ddvGZY2MF9VwvFn6XAE отправил 100 USDT на нужный адрес, после чего в течение минуты получил транзакцию на 1.01 usdt с похожего адреса. Далее вывод уже был произведен на криптовалютный кошелек злоумышленников.
Рис.1. Жертва переводит $129 млн. на адрес злоумышленника
В визуализации видно, что последние символы верного адреса и адреса, отправившего пыль похожи.
➯ Возврат средств
Спустя время злоумышленник перевел полученную криптовалюту на другой адрес и произвел два вывода для возврата криптовалюты обратно. Все транзакции были произведены в течение дня.
Рис.2. $129 млн. двумя транзакциями вернулись потерпевшему
➯ Мишень пылевых атак: адрес жертвы до инцедента
На первый взгляд ситуация не похожа на мошенничество, а схожесть адресов выглядит как совпадение. Но если обратить внимание на другие транзакции потерпевшего, можно заметить, что пылевые транзакции поступали ему неоднократно.
Рис.3. Закономерность атак поддельных адресов на кошельке жертвы
То есть владелец отмеченного адреса выводил криптовалюту и после этого тут же получал небольшую транзакцию с крипто кошелька, похожего на верный.
Итоги
Вероятность получить транзакцию пылевой атаки невелика и не всегда несет за собой угрозу безопасности кошелька. Однако в период бычьего рынка скорость рынка значительно увеличилась, сделки совершаются на скорую руку и не всегда проверяются должным образом. Любые подозрительные депозиты необходимо проверять через специализированные AML-сервисы, которые ведут актуальную базу мошенников и помечают адреса злоумышленников как высокорискованные.
Важно знать: С ростом ликвидности крипторынка фишинг-индустрия демонстрирует резкий скачок, а бдительность пользователей часто снижается. Чтобы не стать жертвой подобных схем необходимо обращать внимание на небольшие суммы, полученные с неизвестных адресов, а также сверять все символы адреса на который производится вывод средств.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
