Крипто инвестор потерял $2.6 млн в стейблкоинах из-за двух почти идентичных фишинговых атак в течение трех часов, что подчеркивает растущую и сложную угрозу в финансовой сфере на базе блокчейна: нулевые сделки.
Инцидент, о котором сообщили 26 мая компанией Cyvers, включал две крупные транзакции с Tether (USDT) - первая на сумму $843,000, а позже - вторая транзакция на $1.75 млн. В обоих случаях жертва, похоже, попалась на уловку с нулевой передачей, которая все чаще применяется мошенниками, ориентированными на привычки пользователей в использовании адресов кошельков.
Эта двойная потеря подчеркивает ограничения текущих интерфейсов кошельков, рост интеллектуального социального инженерства в области криптопреступности и срочную необходимость надежных решений безопасности для Web3.
Нулевые сделки эксплуатируют слабость в том, как пользователи интерпретируют историю транзакций и доверяют адресам кошельков. Этот метод абузирует функцию transferFrom стандарта токенов ERC-20, которая позволяет любой стороне инициировать перевод токенов без согласия пользователя - если сумма равна нулю.
Поскольку реальные токены не передаются, эти подделанные нулевые транзакции не требуют цифровой подписи с целевого кошелька. Тем не менее, они записываются в блокчейн, часто вводя жертв в заблуждение, заставляя их думать, что поддельный адрес - это ранее доверенный.
В действительности, мошенники «заражают» историю транзакций жертв, добавляя безопасные на вид нулевые транзакции, которые кажутся законными. Когда жертва позже инициирует реальную сделку - возможно, используя историю кошелька или копируя ранее использованный адрес - они могут случайно отправить средства на поддельный адрес мошенника.
Эта эксплуатация основана на и расширяет связанный метод атаки, называемый подменой адресов, когда мошенники отправляют небольшие суммы криптовалюты с адресов, визуально похожих на известные контакты пользователя. Это, как правило, основывается на эксплуатации привычки пользователей полагаться на частичное совпадение адресов - часто первые и последние четыре символа - а не проверять всю строку.
Продвинутые фишинговые атаки
Ключевая опасность нулевой передачи и подмены адресов заключается не в нарушении криптографических протоколов, а в манипулировании поведением пользователя. Интерфейсы криптокошельков - особенно кошельки на основе браузера и мобильные приложения - часто показывают историю адресов и прошлые транзакции как показатели безопасности, доверия или прежнего использования. Это создает поверхность атаки, которая не зависит от уязвимостей в коде, а скорее от человеческого принятия решений.
В случае недавней кражи на сумму $2.6 млн жертва, вероятно, использовала историю транзакций своего кошелька для инициирования или проверки адреса, полагая, что отправляет средства на известный или ранее доверенный контакт. Повторение атаки менее чем за три часа указывает на то, что жертва либо не обнаружила начальную потерю вовремя, либо считала первую транзакцию законной - оба сценария указывают на то, насколько незаметной и убедительной эта схема может быть в реальном времени.
Потери были исключительно в USDT (Tether), широко используемом стейблкоине с миллиардными ежедневными объемами на блокчейне. Поскольку USDT чаще всего используется для крупных институциональных и розничных переводов, он стал главным объектом для атак на высокодоходные кошельки.