Как теряют криптовалюты в больших объёмах

В мае 2023 года Управление по борьбе с наркотиками США конфисковало более 500 тысяч долларов в крипте с двух счетов криптобиржи Binance. Как отмечают источники Cointelegraph, связанные с ними подозреваемые занимались отмыванием денег и продажей наркотиков. При этом конфискация монет стала следствием трёхлетнего расследования деятельности преступной группировки.

Монеты были перемещены на аппаратные кошельки Trezor в распоряжении силовиков. Следующий шаг в стандартной процедуре конфискации активов – передача части суммы на адрес Службы маршалов США. Сотрудники Управления по борьбе с наркотиками США протестировали перевод, отправив сначала около 45 USDT на нужный кошелёк. Транзакция в блокчейне была замечена мошенником — и атака началась.

Злоумышленник сгенерировал адрес кошелька, у которого первые пять и последние четыре символа оказались такими же, как и у оригинального адреса Службы маршалов США. Затем мошенник отправил небольшую сумму средств на кошелёк Управления по борьбе с наркотиками США, чтобы во входящих отображалась проведённая операция. В этот момент сотрудники ведомства не заметили ничего подозрительного.

Адреса криптокошельков – это длинная комбинация из букв и цифр. Проверять каждый из них долго, поэтому владельцы криптовалют чаще всего не заморачиваются и сверяют лишь первые и последние символы адреса. То есть уловка мошенника оказалась эффективной, поскольку начало и конец адреса совпадали с реальным адресом, с которым взаимодействовали сотрудники ведомства. В целом подобная разновидность атаки называется "отравлением адреса".

Убедившись в проведении тестовой транзакции, сотрудники DEA скопировали адрес мошенника из входящих переводов, приняв его за реальный адрес, и отправили туда 55 тысяч USDT. Очевидно, представитель ведомства, который проводил перевод, взял адрес из последней транзакции, поскольку ошибочно видел в ней свою предыдущую транзакцию. Собственно, на это и делают ставку хакеры.

Спустя некоторое время в Службе маршалов заметили недостаток средств и уведомили членов Управления по борьбе с наркотиками об инциденте. В ответ ведомство обратилось к Tether, которая выпускает стейблкоин USDT, с просьбой заморозить монеты на кошельке злоумышленника. Однако было уже поздно – тот успел обменять их на ETH и BTC, а затем вывести на другие кошельки.

😈 БОЛЬШЕ ИНТЕРЕСНОГО МОЖНО НАЙТИ У НАС В ЯНДЕКС.ДЗЕНЕ!

Сейчас DEA совместно с ФБР проводит расследование инцидента. Всё, что удалось обнаружить на данный момент – это два счёта Binance, с которых производилась оплата за газ для кошелька злоумышленника, использовавшего для регистрации на бирже два адреса электронной почты Gmail. Хватит ли этого для определения реальной личности хакера и его задержания — покажет время.

Отметим, что порой мошенникам удаётся украсть таким способом куда больше денег. Здесь вспоминает случай от начала августа, когда хакер аналогичным образом смог получить 20 миллионов долларов от анонимного богатого инвестора. Последний также самостоятельно отправил монеты на адрес, напоминающий настоящую комбинацию, с которой уже взаимодействовал держатель капитала.


Получается, что мошенник использовал специальное программное обеспечение для генерации похожего адреса, у которого были аналогичные символы в начале и в конце. Затем он отправил небольшую транзакцию жертве и начал ждать. Расчёт делался на то, что инвестор решит повторить операцию, скопирует адрес из списка последних транзакций и не заметит отличий в адресах.

В данном случае правильным адресом была комбинация 0xa7b4bac8f0f9692e56750aefb5f6cb5516e90570, тогда как мошенник владел адресом 0xa7bf48749d2e4aa29e3209879956b9baa9e90570. Обратите внимание, что начало и конец этих адресов совпадают, поэтому купиться на трюк — особенно с учётом высокой скорости его проведения — действительно было более чем реально.


В итоге жертва действительно перевела 20 миллионов USDT мошеннику. Это видно по выписке из обозревателя блокчейнов под названием Etherscan. Причём соответствующий адрес скамера уже помечен как «Fake_Phishing185618», что в дальнейшем позволит другим пользователям не купиться на этот фокус.

Здесь заметно, что пользователь сначала отправил 20 миллионов USDT на правильный адрес, а затем перевёл эквивалентную сумму на адрес скамера. К тому же он вышел на связь с представителями Tether, благодаря чему потерянные деньги заморозили. Ну а реальный владелец монет получил соответствующий эквивалент криптоактива.

Защититься от этой разновидности атаки реально. Для этого не нужно копировать адреса из истории транзакций, а также нужно тщательно сверять комбинации, на которые уходят переводы. В идеале стоит использовать для этого аппаратные кошельки, экран которых не подключён к интернету и поэтому не может быть взломан дистанционно.


Ситуация наглядно показывает, насколько находчивыми сегодня являются криптовалютные хакеры. Более того, в этом случае держателей монет не спасло даже использование аппаратных кошельков, которые традиционно лучше защищают криптоактивы от дистанционных взломов. Так что здесь остаётся внимательно следить за используемыми адресами и вдобавок не копировать их из истории переводов.


Ещё больше интересного ищите в нашем крипточате бывших богачей. Там обсуждаем и другие важные события, которые так или иначе сказываются на настроениях в мире цифровых активов.

ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ. ТУЗЕМУН НЕ ЗА ГОРАМИ!