#EthereumWarnsonAddressPoisoning A $50M Потеря выявляет системный сбой безопасности в UX Кошелька и верификации Адресов

Недавний $50 миллион USDT адресный обман с отравлением на Ethereum подчеркнул одну из самых опасных уязвимостей безопасности, с которыми сталкиваются пользователи криптовалют и учреждения. В этом инциденте крупный перевод, предназначенный для известного Кошелька, был ошибочно отправлен на схожий Адрес, который был "отравлен" в историю транзакций жертвы с помощью небольших, тщательно продуманных пыльевых транзакций. Нападающий сгенерировал адрес Кошелька, совпадающий с первыми и последними символами предполагаемого получателя, эксплуатируя обычную практику сокращения адресов для отображения. Доверяя сокращенной форме, видимой в их недавней истории, жертва скопировала адрес, не проверив средние символы, отправив почти $50 миллион на кошелек мошенника.
Потеря адреса не является крайним случаем. Это масштабируемый вектор атаки. Исследования показывают, что злоумышленники могут генерировать миллионы похожих адресов на Ethereum и других совместимых с EVM цепочках, что приводит к значительным финансовым потерям и затрагивает тысячи пользователей. Эти атаки эксплуатируют привычку кошельков скрывать средние символы адресов и внедрять поддельные адреса в историю транзакций, делая пользователей уязвимыми к, казалось бы, незначительным ошибкам с катастрофическими последствиями.
Многие популярные кошельки не способны адекватно предупреждать пользователей о подозрительных или визуально схожих адресах. Оценка более 50 кошельков Ethereum показала, что лишь небольшая часть из них реализует эффективные предупреждения, оставляя большинство пользователей уязвимыми к атакам, использующим визуальное сходство. Даже опытные операторы могут быть обмануты этой предсказуемой ошибкой, что подчеркивает, что коренная причина заключается не в небрежности пользователей, а в недостатках дизайна UX кошелька.
В недавнем случае $50M жертва выполнила первоначальный небольшой тестовый перевод, как рекомендовалось для высокоценных транзакций. Однако через несколько минут более крупный перевод ушел на злонамеренный адрес, который был вставлен в историю Кошелька. В течение тридцати минут злоумышленник обменял украденный USDT на другие токены и направил средства через миксеры, эффективно отмывая украденные активы. Это демонстрирует, как быстро и эффективно злоумышленники могут использовать небольшие уязвимости в пользовательском интерфейсе.
Системная проблема заключается в дизайне кошелька. Большинство кошельков отображают адреса в виде "0x1234…ABCD", что неявно обучает пользователей проверять только видимые сегменты. Злоумышленники используют это, создавая адреса с идентичными префиксами и суффиксами, что делает различия в скрытой середине почти незаметными. Проблема усугубляется тем, что злоумышленники используют инструменты с ускорением GPU для производства тысяч похожих адресов и внедрения их в историю пользователей, превращая повседневные взаимодействия с кошельком в оружие.
Снижение рисков требует как изменений на уровне кошелька, так и дисциплинированной операционной практики. Интерфейсы кошельков должны по умолчанию отображать полные адреса и предоставлять визуальные отличия, подчеркивающие любые различия при вставке или выборе адреса. Эвристика должна отмечать близкие совпадения с известными контактами, и должны быть выданы четкие предупреждения, когда используется новый или визуально похожий адрес. Читаемые человеком системы имен, такие как Ethereum Name Service (ENS), могут помочь, но только когда разрешенные адреса отображаются вместе с именем и проверяются через доверенные каналы.
Для пользователей с высокой ценностью, DAO и казначейских менеджеров операционная дисциплина теперь крайне важна. Лучшие практики включают ручную проверку полного адреса перед одобрением переводов, избегание копирования адресов из истории кошелька, выполнение тестовых транзакций с отдельными подтверждениями через безопасные каналы, поддержание безопасных адресных белых списков и обязательное применение многофакторного одобрения для значительных или впервые получающих. Продвинутые предприятия также могут использовать мониторинг в блокчейне для обнаружения похожих адресов или подозрительных мелких транзакций.
Широкий урок ясен: выбор UX, который ставит удобство выше безопасности, создает предсказуемые векторы атак в враждебных условиях. То, что когда-то считалось приемлемым дизайном кошелька, теперь представляет собой серьезные риски, особенно по мере того, как злоумышленники становятся все более изощренными, а институциональное принятие растет. Отображение и проверка адреса должны рассматриваться как критически важные элементы безопасности, а не как косметические детали. Пока кошельки, системы именования и операционные практики не будут соответствовать этой реальности, фишинг по похожим адресам останется одним из самых эффективных и разрушительных способов кражи в криптовалюте.