یک اشتباه فردی، ۵۰ میلیون دلار رمز ارز را به حساب هکر واریز کرد

تحقیقات آنچین نشان می‌دهد که قربانی برای اطمینان از صحت فرآیند، ابتدا یک تراکنش آزمایشی به مبلغ ۵۰ تتر به آدرس صحیح و شخصی خود ارسال کرده بود. این اقدام که یک رویه امنیتی استاندارد محسوب می‌شود، در این مورد خاص به عاملی برای وقوع کلاهبرداری تبدیل شد.

مهاجم که به نظر می‌رسد فعالیت‌های این کیف پول را تحت نظر داشته، بلافاصله پس از دریافت تراکنش آزمایشی، حمله خود را اجرا کرد. کلاهبردار یک آدرس کیف پول جدید ایجاد کرد که چهار کاراکتر ابتدایی و چهار کاراکتر انتهایی آن دقیقاً با آدرس واقعی قربانی یکسان بود. سپس مهاجم یک تراکنش با مبلغ ناچیز به کیف پول قربانی ارسال کرد تا این آدرس جعلی در تاریخچه تراکنش‌های او ثبت شود. دقایقی بعد، زمانی که کاربر برای انتقال مبلغ اصلی یعنی ۴۹٬۹۹۹٬۹۵۰ تتر اقدام کرد، به جای استفاده از آدرس اصلی، به تاریخچه تراکنش‌های اخیر خود مراجعه و آدرس جعلی را کپی کرد. به دلیل اینکه بسیاری از رابط‌های کاربری کیف پول‌ها، آدرس‌های طولانی را به صورت خلاصه  وبا نمایش چند حرف از ابتدا و انتها نمایش می‌دهند، آدرس جعلی در نگاه اول کاملاً معتبر به نظر می‌رسید و انتقال وجه نهایی شد.

این روش حمله که به مسموم‌سازی آدرس شهرت دارد، نیازی به هک کردن کلید‌های خصوصی یا بهره‌برداری از قرارداد‌های هوشمند پیچیده ندارد و صرفاً بر خطای انسانی و ضعف‌های موجود در رابط کاربری نرم‌افزار‌ها متکی است. مهاجمان با تولید آدرس‌هایی که کاراکتر‌های ابتدا و انتهای آن‌ها با آدرس هدف یکسان است، از عادت کاربران برای بررسی چشمی و سریع آدرس‌ها سوءاستفاده می‌کنند. در این مورد، سرعت عمل مهاجم در قراردادن آدرس جعلی در تاریخچه تراکنش‌های قربانی، درست پس از تراکنش آزمایشی، نشان‌دهنده وجود یک سیستم نظارتی خودکار و برنامه‌ریزی دقیق برای این حمله بوده است. این روش در مقایسه با حملات پیچیده حوزه دیفای، فنی محسوب نمی‌شود، اما نتیجه آن نشان می‌دهد که چگونه یک غفلت ساده می‌تواند به زیان‌های مالی جبران‌ناپذیر منجر شود.

داده‌های آنچین حاکی از آن است که دارایی‌های سرقت‌شده پس از انتقال، به سرعت توسط مهاجم به کار گرفته شدند. بخش قابل توجهی از تتر‌های مسروقه به اتریوم تبدیل و برای پیچیده‌تر کردن فرآیند ردیابی، به چندین کیف پول مختلف توزیع شد. در مرحله بعد، بخشی از این دارایی‌ها به سرویس میکسر تورنادو کش منتقل گردید. این سرویس با ترکیب تراکنش‌های مختلف، ارتباط بین آدرس فرستنده و گیرنده را از بین می‌برد و عملاً امکان ردیابی وجوه را برای تحلیلگران تقریبا غیرممکن می‌سازد. زنجیره تراکنش‌های سریع و برنامه‌ریزی‌شده پس از سرقت، نشان می‌دهد که مهاجم از قبل برای نقد کردن و پنهان‌سازی دارایی‌ها آمادگی کامل داشته است.

نکته قابل توجه در این پرونده، مقیاس بالای آن است. حملات مسموم‌سازی آدرس معمولاً برای سرقت مبالغ خرد به کار می‌روند، اما این اتفاق نشان داد که حتی کاربران باتجربه که از روش‌های امنیتی مانند تراکنش آزمایشی استفاده می‌کنند نیز در برابر آن آسیب‌پذیر هستند. طنز ماجرا در این است که همان اقدام امنیتی کاربر، سیگنال لازم برای شروع حمله را به مهاجم داد. این حادثه همچنین پرسش‌هایی جدی در مورد طراحی رابط کاربری کیف پول‌های دیجیتال مطرح می‌کند. نمایش خلاصه‌شده آدرس‌ها اگرچه خوانایی را بهبود می‌بخشد، اما یک حفره امنیتی برای کاربرانی که با مبالغ بالا کار می‌کنند، ایجاد کرده است. برخی از کیف پول‌های جدیدتر قابلیت‌هایی مانند هشدار در مورد آدرس‌های مشابه یا امکان ایجاد لیست سفید برای محدود کردن انتقال وجه به آدرس‌های از پیش‌تأییدشده را ارائه می‌دهند، اما استفاده از این ویژگی‌ها هنوز فراگیر نشده است.