ข้อผิดพลาดในการคัดลอก-วางกระเป๋าเงินทำให้เกิดหนึ่งในกลโกงที่อยู่ที่แพงที่สุดของ Crypto

ประเด็นสำคัญ:

• ผู้ใช้ crypto เกือบสูญเสียไปแล้ว 50 ล้านดอลลาร์สหรัฐฯ เป็น USDT หลังจากคัดลอกที่อยู่กระเป๋าเงินปลอมจากประวัติการทำธุรกรรม
• การโจมตีที่ใช้ ที่อยู่พิษโดยใช้ประโยชน์จากอินเทอร์เฟซกระเป๋าสตางค์ที่ซ่อนที่อยู่ตรงกลาง
• เงินถูกสลับอย่างรวดเร็วและถูกส่งผ่านกระเป๋าเงินหลายใบ โดยบางส่วนจะถูกส่งไปยัง ทอร์นาโดเงินสดการจำกัดตัวเลือกการกู้คืน

ข้อผิดพลาดในการคัดลอกและวางเพียงครั้งเดียวส่งผลให้เกิดข้อผิดพลาดของผู้ใช้ที่แพงที่สุดครั้งหนึ่งที่เคยบันทึกไว้ในเครือข่าย เหตุการณ์ดังกล่าวเน้นย้ำว่าพฤติกรรมอินเทอร์เฟซที่เรียบง่ายสามารถแทนที่พฤติกรรมที่ระมัดระวังและนำไปสู่การสูญเสียที่ไม่อาจแก้ไขได้

การโอนการทดสอบตามปกติกลายเป็นการสูญเสีย $50M ได้อย่างไร

ตามที่ผู้ตรวจสอบ on-chain รวมถึง Lookonchain ระบุว่าเหยื่อเริ่มต้นด้วยขั้นตอนที่ผู้ใช้ที่มีประสบการณ์หลายคนพิจารณาแนวทางปฏิบัติที่ดีที่สุด: ธุรกรรมทดสอบเล็กน้อย ผู้ใช้ส่ง 50 ดอลลาร์สหรัฐ ไปยังที่อยู่กระเป๋าสตางค์ส่วนตัวที่คุ้นเคยเพื่อยืนยันความถูกต้องก่อนที่จะย้ายจำนวนเงินที่มากขึ้น

อย่างไรก็ตาม การถ่ายโอนการทดสอบนั้นกลับกลายเป็นตัวกระตุ้น

ภายในเวลาไม่นานนักหลอกลวงก็ได้ใช้กลยุทธ์การวางยาพิษที่อยู่ ผู้โจมตีสร้างที่อยู่กระเป๋าเงินซึ่งมีตัวเลขสี่หลักแรกและสี่หลักสุดท้ายเป็นที่อยู่จริงของเหยื่อ จากนั้นธุรกรรมเล็กๆ จะถูกส่งไปยังเหยื่อตามที่อยู่นี้ซึ่งดูเหมือนเป็นของจริง เพื่อให้แน่ใจว่าจะถูกบันทึกไว้ในกระเป๋าเงินของประวัติการทำธุรกรรม

เมื่อผู้เสียหายกลับมาทำการโอนเงินหลักให้เสร็จสิ้น: 49,999,950 ดอลลาร์สหรัฐพวกเขาคัดลอกที่อยู่จากประวัติการทำธุรกรรมแทนที่จะเป็นแหล่งที่บันทึกไว้ดั้งเดิม เนื่องจากอินเทอร์เฟซกระเป๋าเงินจำนวนมากตัดทอนที่อยู่ด้วย “…” ที่อยู่ปลอมจึงดูถูกต้องตามกฎหมายทันที เงินถูกโอนไปยังแฮกเกอร์ทันทีและอย่างถาวร

อ่านเพิ่มเติม: Pi Network แฟล็กกระเป๋าเงินหลอกลวง ท่ามกลางความเสี่ยงโทเค็นมูลค่า 346 ล้านดอลลาร์ เนื่องจากผู้ใช้ 60 ล้านคนรอการปลดล็อค

พิษที่อยู่: การโจมตีเทคโนโลยีต่ำที่มีผลกระทบสูง

ไม่จำเป็นต้องแฮ็กคีย์ส่วนตัวหรือใช้งานสัญญาอัจฉริยะ มันขึ้นอยู่กับส่วนต่อประสานและพฤติกรรมของมนุษย์

เหตุใดการโจมตีนี้จึงยังได้ผลในวงกว้าง

กระเป๋าเงินส่วนใหญ่จะย่อที่อยู่เพื่อให้อ่านง่ายขึ้น ผู้ใช้จะตรวจสอบการโอนบ่อยครั้งโดยตรวจสอบที่อยู่แรกและที่อยู่สุดท้าย สิ่งนี้ถูกใช้ในทางที่ผิดโดยผู้โจมตีที่สร้างที่อยู่ที่สะท้อนถึงอักขระที่มองเห็นได้

ในกรณีนี้ นักหลอกลวงทำสิ่งนี้ทันทีหลังจากทำธุรกรรมทดสอบ และนั่นหมายถึงการตรวจสอบอัตโนมัติ ผู้โจมตีทำให้ความสะดวกสบายเป็นเหตุผลที่ดีกว่าในการระมัดระวังโดยใส่ที่อยู่ที่ใกล้เคียงกันไว้ในประวัติการทำธุรกรรมของเหยื่อ

วิธีการนี้ถือเป็นวิธีการพื้นฐานเมื่อเทียบกับการหาประโยชน์จาก DeFi ที่ซับซ้อน แต่ผลลัพธ์ที่ได้แสดงให้เห็นว่าแม้แต่การหลอกลวงที่ “ธรรมดา” ก็สามารถสร้างความเสียหายร้ายแรงได้เมื่อมีเงินก้อนโตเข้ามาเกี่ยวข้อง

ความเคลื่อนไหวออนไลน์หลังการโจรกรรม

บันทึกบล็อคเชน แสดงว่า USDT ที่ถูกขโมยไม่ได้ถูกใช้งาน ผู้โจมตีแลกเปลี่ยนเงินทุนส่วนหนึ่งเป็น ETH อย่างรวดเร็วและส่งไปยังกระเป๋าเงินหลายใบ ซึ่งเป็นเรื่องปกติที่จะลดการตรวจสอบย้อนกลับ

ทรัพย์สินถูกโอนไปยัง Tornado Cash ในภายหลัง ซึ่งเป็นตัวผสมความเป็นส่วนตัวที่ซ่อนเส้นทางการโอน ทันทีที่มีการลงทุนในบริการดังกล่าว การกู้คืนไม่น่าจะเป็นไปได้อย่างยิ่งหากไม่มีการแลกเปลี่ยนหรือผู้ตรวจสอบความถูกต้องในทันที

นักวิเคราะห์อธิบายห่วงโซ่กระเป๋าสตางค์ซึ่งอ้างว่ามีประสิทธิภาพและวางแผนไว้ล่วงหน้า ซึ่งหมายความว่านักต้มตุ๋นพร้อมที่จะดำเนินการทันทีที่มีการโอนครั้งใหญ่

เหตุใดคดีนี้จึงทำให้นักวิเคราะห์ตกตะลึง

พิษจากที่อยู่เป็นที่รู้จักอย่างกว้างขวาง และมักถูกกล่าวถึงว่าเป็นการหลอกลวงที่สร้างความรำคาญซึ่งเกี่ยวข้องกับปริมาณเล็กน้อย สิ่งที่ทำให้คดีนี้โดดเด่นคือ มาตราส่วน และ รายละเอียดของข้อผิดพลาด–

เหยื่อทำตามขั้นตอนความปลอดภัยทั่วไปโดยการทดสอบด้วยการเคลื่อนย้ายเล็กน้อย น่าแปลกที่การกระทำดังกล่าวทำให้ผู้โจมตีได้รับสัญญาณที่จำเป็นในการติดตั้งที่อยู่ที่ปลอมแปลงในเวลาที่เหมาะสม

ผู้สังเกตการณ์ออนไลน์ตั้งข้อสังเกตว่าใช้เวลาเพียงไม่กี่วินาทีในการคัดลอกที่อยู่จากแหล่งที่มาดั้งเดิม แทนที่จะใช้ประวัติการทำธุรกรรมจะป้องกันการสูญเสียได้ทั้งหมด ความเร็วขั้นสุดท้ายของบล็อกเชนไม่มีหน้าต่างสำหรับการกลับรายการ

อ่านเพิ่มเติม: เซินเจิ้นออกการแจ้งเตือนการฉ้อโกง Crypto เนื่องจากการหลอกลวง Stablecoin ทวีคูณทั่วประเทศจีน

การออกแบบกระเป๋าเงินและปัจจัยมนุษย์

เหตุการณ์นี้ทำให้เกิดคำถามเกี่ยวกับตัวเลือก UX ของกระเป๋าสตางค์ ที่อยู่ที่ถูกตัดทอนจะปรับปรุงความชัดเจนของภาพ แต่ลดความปลอดภัยสำหรับผู้ใช้ที่ต้องจัดการเงินจำนวนมาก

ขณะนี้กระเป๋าเงินบางใบเตือนผู้ใช้เกี่ยวกับการวางยาพิษที่อยู่หรือที่อยู่ติดธงที่คล้ายกับที่รู้จักอย่างใกล้ชิด อื่นๆ เสนอรายการที่อยู่ที่อนุญาตพิเศษ โดยที่การโอนจะจำกัดไว้เฉพาะที่อยู่ที่ได้รับการอนุมัติล่วงหน้าเท่านั้น อย่างไรก็ตาม การใช้คุณลักษณะเหล่านี้ยังคงไม่สอดคล้องกัน

สำหรับการโอนที่มีมูลค่าสูง การพึ่งพาการตรวจสอบด้วยภาพเพียงอย่างเดียวนั้นไม่เพียงพอ กรณีนี้แสดงให้เห็นว่าแม้แต่ผู้ใช้ที่มีประสบการณ์ก็สามารถตกอยู่ในรูปแบบที่คาดเดาได้ภายใต้แรงกดดันด้านเวลาได้อย่างไร