Inwestor kryptowalutowy stracił 2,6 miliona dolarów w stablecoinach w wyniku dwóch niemal identycznych ataków phishingowych w odstępie trzech godzin, podkreślając rosnące i zaawansowane zagrożenie w finansach opartych na blockchainie: oszustwach zero-transfer.
Zdarzenie zasygnalizowane 26 maja przez firmę zajmującą się bezpieczeństwem kryptowalut Cyvers dotyczyło dwóch dużych transakcji Tether (USDT) - pierwszej opiewającej na 843 000 USD i drugiej w wysokości 1,75 miliona USD. W obu przypadkach ofiara padła ofiarą zwodniczej taktyki onchain znanej jako transfer zero-wartości, metody phishingowej coraz częściej stosowanej przez oszustów celujących w nawyki użytkowników dotyczące adresów portfela.
Ta podwójna strata uwypukla ograniczenia obecnych interfejsów portfeli skierowanych do użytkowników, wzrost inteligentnych metod inżynierii społecznej w kryptoprzestępczości i pilną potrzebę wprowadzenia solidnych rozwiązań bezpieczeństwa w całym Web3.
Transfery zero-wartości wykorzystują lukę w sposobie, w jaki użytkownicy interpretują historię transakcji i ufają adresom portfeli. Technika wykorzystuje funkcję transferFrom standardu tokenów ERC-20, która pozwala dowolnej stronie zainicjować transfer tokenów bez zgody użytkownika - jeśli kwota wynosi zero.
Ponieważ nie ma rzeczywistego przesyłu tokenów, te sfałszowane transakcje zero-wartości nie wymagają cyfrowego podpisu z docelowego portfela. Są one jednak rejestrowane on-chain, często wprowadzając w błąd ofiary, sugerując, że sfałszowany adres to wcześniej zaufany adres.
W efekcie oszuści „zatrważają” historię transakcji ofiary, wstrzykując niewinnie wyglądające transfery zero-wartości, które wydają się legalne. Kiedy ofiara później chce dokonać rzeczywistej transakcji - być może używając historii portfela lub kopiując wcześniej używany adres - może przypadkowo wysłać środki na sfałszowany adres oszustów.
Ta luka czerpie inspirację i rozszerza powiązaną metodę ataku, zwaną zatruciem adresów, gdzie oszuści wysyłają niewielkie ilości kryptowalut z adresów portfela, które wyglądają wizualnie podobnie do znanych kontaktów użytkownika. Typowo wykorzystuje to poleganie użytkownika na dopasowaniu częściowych adresów - często pierwszy i ostatni cztery znaki - zamiast weryfikowania pełnego ciągu.
Zaawansowany phishing
Kluczowe niebezpieczeństwo, jakie kryje się za oszustwami zero-transfer i zatruciem adresów, polega nie na łamaniu protokołów kryptograficznych, ale na manipulowaniu zachowaniem użytkownika. Interfejsy portfeli kryptowalutowych - zwłaszcza portfeli przeglądarkowych i aplikacji mobilnych - często wyświetlają historię adresów i przeszłe transakcje jako wskaźniki bezpieczeństwa, zaufania lub wcześniejszego użycia. Tworzy to powierzchnię ataku, która nie zależy od luk w kodzie, ale od decyzji ludzkich.
W przypadku ostatniej kradzieży 2,6 miliona dolarów, ofiara najprawdopodobniej skorzystała z historii transakcji swojego portfela, aby zainicjować lub zweryfikować adres, wierząc, że wysyła środki do znanego lub wcześniej zaufanego kontaktu. Powtórzenie ataku w ciągu trzech godzin sugeruje, że ofiara nie wykryła początkowej straty na czas lub wierzyła, że pierwsza transakcja była legalna - oba scenariusze wskazują, jak cichy i przekonujący w czasie rzeczywistym może być ten oszustwo.
Straty dotyczyły wyłącznie USDT (Tether), powszechnie używanego stablecoina z miliardami codziennych transakcji on-chain. Ponieważ USDT jest zazwyczaj używane w dużych instytucjonalnych i detalicznych transferach, stało się głównym celem precyzyjnych oszustw, które koncentrują się na portfelach o dużej wartości.
Rozkwit ataków poprzez zatrucia
Incydent nie jest odosobniony. Szczegółowe badanie opublikowane w styczniu 2025 roku ujawniło, że ponad 270 milionów prób zatrucia adresów odnotowano na Ethereum i BNB Chain między lipcem 2022 a czerwcem 2024 roku. Choć tylko 6000 z tych ataków było skutecznych, łącznie doprowadziły one do ponad 83 milionów dolarów potwierdzonych strat.
Sam wolumen prób, skutecznych lub nie, sugeruje, że strategie zatrucia są tanie w realizacji i nadal skuteczne ze względu na tendencje behawioralne użytkowników oraz brak UX antyphishingowego w popularnych portfelach kryptowalutowych.
Znacząca jest skala szkód w indywidualnych przypadkach. W 2023 roku podobne oszustwo zero-transfer doprowadziło do kradzieży 20 milionów dolarów w USDT, zanim Tether ostatecznie umieścił ten portfel na czarnej liście. Jednak umieszczanie na czarnej liście nie jest uniwersalnym zabezpieczeniem - wiele tokenów nie obsługuje list zakazanych emitenta, a nie wszystkie sieci blockchain oferują podobne narzędzia interwencyjne.
Narzędzia wykrywania AI i zmiany w interfejsach
W odpowiedzi na wzrastającą liczbę oszustw zero-transfer, kilka firm zajmujących się cyberbezpieczeństwem i infrastrukturą portfeli stara się ograniczyć ryzyko poprzez inteligentniejsze systemy wykrywania.
Wcześniej w tym roku firma Trugard, zajmująca się bezpieczeństwem blockchainu, nawiązała współpracę z protokołem bezpieczeństwa on-chain Webacy, aby wprowadzić system detekcji oparty na AI, specjalnie zaprojektowany do wykrywania potencjalnych prób zatrucia adresów. Według jego twórców, narzędzie to wykazało 97% dokładności w testach z wykorzystaniem danych historycznych dotyczących ataków.
System działa, analizując wzorce w metadanych transakcji, zachowania transferu i podobieństwa adresów, a następnie ostrzegając użytkowników przed finalizacją transakcji. Jednak szersze przyjęcie wśród popularnych portfeli pozostaje ograniczone, jako że wiele platform wciąż znajduje się w procesie integracji z narzędziami bezpieczeństwa od firm trzecich.
Niektórzy deweloperzy portfeli również rozważają zmiany w sposobie prezentacji historii transakcji. Przykładowo, oznaczanie transakcji zero-wartości, kolorowanie adresów na podstawie ocen zaufania i ułatwienie pełnej weryfikacji adresu są rozważane jako metody ograniczania sukcesu oszustw. Dopóki jednak takie zmiany interfejsu nie staną się standardem w całej branży, użytkownicy pozostają narażeni.
Luka prawna i regulacyjna
Choć oszustwa zero-transfer są technologicznie proste, działania prawne przeciwko ich sprawcom są skomplikowane i rzadko odnoszą sukces. Wiele z tych oszustw pochodzi od anonimowych lub zagranicznych podmiotów, a środki szybko są prane poprzez zdecentralizowane giełdy, mixery lub mosty cross-chain.
Emitenci stablecoinów, tacy jak Tether, mogą interweniować tylko wtedy, gdy istnieją mechanizmy kontroli centralnej - i tylko jeśli skradzione środki pozostają nietknięte lub możliwe do prześledzenia. Gdy atakujący przekażą środki do pul prywatności lub zamienią je na inne aktywa, odzyskanie staje się praktycznie niemożliwe.
Co więcej, agencje egzekwowania prawa często brakują wiedzy technicznej lub zasięgu jurysdykcyjnego, aby badać takie ataki, chyba że stanowią one część większych zorganizowanych kampanii.
Ostateczna linia obrony
Na razie użytkownicy końcowi muszą wykazywać większą ostrożność przy interakcji z adresami blockchainowymi - zwłaszcza jeśli chodzi o transfery dużej wartości. Najlepsze praktyki obejmują:
- Zawsze sprawdzanie pełnego adresu, nie tylko pierwszych/ostatnich znaków.
- Unikanie korzystania z historii portfela do kopiowania adresów.
- Ręczne zapisywanie znanych adresów z oficjalnych źródeł.
- Korzystanie z portfeli z wbudowanym wykrywaniem phishingu, jeśli dostępne.
- Monitorowanie przychodzących transferów zero-wartości jako potencjalnych ostrzeżeń.
Wzrost ataków phishingowych typu zero-transfer pokazuje przesunięcie zagrożeń w Web3 z hacków na poziomie protokołu do ataków inżynierii społecznej wykorzystujących metadane on-chain. W miarę jak wartość aktywów na publicznych blockchainach rośnie, również zwiększa się ich zaawansowanie - czyniąc edukację użytkowników i lepsze narzędzia portfeli kluczowymi dla ochrony funduszy.