Криптоінвестор втратив стейблкоїни вартістю $2,6 мільйона внаслідок двох майже ідентичних фішингових атак за трьохгодинний проміжок, підкреслюючи зростаючу та складну загрозу у фінансах на основі блокчейну: нульові перекази.
Інцидент, зафіксований 26 травня компанією Cyvers з криптозахисту, складався з двох великих транзакцій Tether (USDT) - перша на суму $843,000, а друга, яка відбулася через кілька годин, на $1,75 мільйона. У обох випадках жертва, схоже, піддалася обманній тактиці нульових переказів, фішинговому методу, який все частіше застосовують шахраї, орієнтуючись на звички користувачів щодо адрес їхніх гаманців.
Ця подвійна втрата висвітлює обмеження поточних інтерфейсів гаманців для користувача, зростання інтелектуальної соціальної інженерії у криптозлочинності та нагальну потребу в ефективних рішеннях безпеки у Web3.
Нульові перекази використовують уразливість у тому, як користувачі інтерпретують історію транзакцій та довіряють адресам гаманців. Ця техніка зловживає функцією transferFrom стандарту токена ERC-20, яка дозволяє будь-якій стороні ініціювати переказ токенів без згоди користувача - у разі, якщо сума дорівнює нулю.
Оскільки ніякі реальні токени не рухаються, ці підроблені нульові транзакції не потребують цифрового підпису з цільового гаманця. Тим не менш, вони фіксуються на блокчейні, часто вводячи в оману жертв, переконуючи їх, що підроблена адреса - це раніше довірена.
Таким чином, шахраї "отруюють" історію транзакцій жертви, впроваджуючи безпечні на вигляд нульові перекази, які здаються законними. Коли жертва пізніше намагається здійснити реальну транзакцію - можливо, користуючись історією гаманця або копіюючи раніше взаємодіяну адресу - вона може випадково надіслати кошти на підроблену адресу шахрая.
Цей експлойт запозичує та розвиває споріднений метод атаки, який називається отруєнням адрес, коли шахраї надсилають невеликі суми криптовалюти з адрес гаманців, розроблених таким чином, аби виглядати візуально схожими на відомі контакти користувача. Зазвичай це спирається на використання залежності користувача від часткової відповідності адреси - часто перших і останніх чотирьох символів - замість перевірки повного рядка.
Просунуте фішингування
Основна небезпека нульових переказів та атак отруєння адрес не полягає в зломі криптографічних протоколів, а в маніпулюванні поведінкою користувачів. Інтерфейси криптогаманців - особливо браузерні гаманці та мобільні додатки - часто показують історії адрес і минулі транзакції як показники безпеки, довіри або попереднього користування. Це створює уразливий простір для атак, який залежить не від вразливостей у коді, а від рішень людей.
У разі недавньої крадіжки на суму $2,6 мільйона жертва, ймовірно, використовувала історію транзакцій свого гаманця для ініціювання або підтвердження адреси, вважаючи, що вона надсилає кошти відомому або раніше довіреному контакту. Повторення атаки менше, ніж за три години, свідчить про те, що жертва або не виявила початкової втрати вчасно, або вважала першу транзакцію допустимою - обидва сценарії вказують на те, наскільки непомітним і переконливим може бути шахрайство в режимі реального часу.
Всі втрати були виключно в USDT (Tether), широко використовуваній стейблкоїні з мільярдними щоденними обсягами транзакцій на блокчейні. Оскільки USDT зазвичай використовується у великих інституційних і роздрібних переказах, він став головною ціллю для точних шахрайств, які мають на
Зростання атак отруєння
Інцидент не є ізольованим випадком. Комплексне дослідження, опубліковане в січні 2025 року, показало, що понад 270 мільйонів спроб отруєння адрес було зафіксовано в мережах Ethereum і BNB Chain між липнем 2022 та червнем 2024 року. Хоча лише 6,000 з цих атак були успішні, вони в сукупності призвели до втрат у понад $83 мільйони.
Суцільна кількість спроб - успішних або ні - свідчить про те, що стратегії отруєння є дешевими для виконання і залишаються ефективними через поведінкові звички користувачів та відсутність захисту від фішингу в поширених криптогаманцях.
Примітно, що масштаб шкоди в окремих випадках значний. У 2023 році подібна афера з нульовими переказами призвела до крадіжки $20 мільйонів у USDT, перед тим як Tether врешті-решт заблокував гаманець. Однак блокування не є універсальним захистом - багато токенів не підтримують чорні списки емітентів, і не всі блокчейн-мережі пропонують подібні інструменти втручання.
Інструменти виявлення AI та покращення інтерфейсу
У відповідь на підвищення фішингу з нульовими переказами кілька компаній з кібербезпеки та інфраструктури гаманців намагаються зменшити ризики через покращені системи виявлення.
На початку цього року компанія Trugard з безпеки блокчейну уклала партнерство з протоколом onchain безпеки Webacy для впровадження системи виявлення на базі AI, спеціально розробленої для визначення потенційних спроб отруєння адрес. За свідченням розробників, цей інструмент продемонстрував 97% точність у тестах, що включають історичні дані атак.
Система працює, аналізуючи патерни в метаданих транзакцій, поведінці переказів та схожості адрес, а потім попереджаючи користувачів перед завершенням транзакції. Однак ширше впровадження серед популярних гаманців залишається обмеженим, оскільки багато платформ ще в процесі інтеграції сторонніх інструментів безпеки.
Деякі розробники гаманців також досліджують зміни в презентації історій транзакцій. Наприклад, додавання позначок для нульових транзакцій, фарбування адрес на основі балів довіри та полегшення повної перевірки адреси розглядаються як способи порушити успішність шахрайств. Але доти, доки такі зміни інтерфейсу не стануть стандартом в усій індустрії, користувачі залишаються вразливими.
Юридичні та регуляторні прогалини
Хоча шахрайства з нульовими переказами технологічно прості, юридичні дії проти злочинців є складними та рідко успішними. Багато з цих шахрайств походять від псевдонімних або іноземних суб’єктів, з коштами, які швидко відмиваються через децентралізовані біржі, міксери або міжмережеві містки.
Емітенти стейблкоїнів, як Tether, можуть втрутитися лише тоді, коли існують централізовані контрольні механізми - і лише якщо викрадені кошти залишаються недоторканими або відстежуваними. Щойно зловмисники переводять кошти в пул конфіденційності або конвертують в інші активи, повернення стає практично неможливим.
Крім того, правоохоронні органи часто не мають технічної експертизи або юрисдикційного охоплення для розслідування таких атак, якщо вони не є частиною більших організованих кампаній.
Остання лінія захисту
Поки що кінцеві користувачі повинні прийняти підвищену обережність при взаємодії з адресами блокчейну - особливо для переказів на великі суми. Кращі практики включають:
- Завжди перевіряйте повну адресу, а не тільки перші/останні символи.
- Уникайте використання історії гаманця для копіювання адрес.
- Ручне закладення відомих адрес з офіційних джерел.
- Використовуйте гаманці з вбудованим виявленням фішингу, коли це можливо.
- Моніторинг нульових вхідних переказів як потенційних червоних прапорів.
Зростання фішингових атак з нульовими переказами демонструє зсув у загрозах Web3 від протоколів до атак соціальної інженерії, використовуючи метадані onchain. По мірі зростання вартості активів на публічних блокчейнах, так само зростатиме і складність цих методів - роблячи освітні зусилля для користувачів і покращення інструментів гаманця критичними для захисту коштів.