F2Pool спільно протестував безпеку Закритого ключа! 500 монет Біткойн було вкрадено 490 монет

21 грудня співзасновник одного з найбільших у світі майнінгових пулів F2Pool (Рибний пул) Ван Чун на X розповів про вражаючий випадок, коли у нього вкрали 500 монет BTC. Причиною стало обговорення в спільноті інциденту з “фішингом на 50 мільйонів монет USDT”. Ван Чун процитував повідомлення в у блокчейні, яке жертва надіслала хакерам, і самоіронічно зазначив, що хакери виявилися дуже “щедрими”, забравши лише 490 монет, залишивши йому 10 монет Біткойн на прожиття.

5000万 USDT риболовля атака абсурдні операції

! Спільне створення F2Pool зламано

（джерело: Ван Чунь）

Ця подія, що спровокувала відкриття від Ван Чуна, сама по собі є безпековою катастрофою вартістю 50 мільйонів доларів. Нещодавно один великий кит/інституція здійснив виведення 50 мільйонів USDT з Binance, спочатку “випробувавши” переведення 50 USDT на заплановану адресу отримання. В результаті, зловмисник швидко згенерував подібну адресу з однаковими першими і останніми трьома цифрами та перевів на адресу жертви 0.005 USDT токенів пилу.

Жертва під час офіційного переказу, ймовірно, безпосередньо скопіювала адресу з недавніх записів транзакцій, що призвело до того, що 50 мільйонів USDT було повністю переведено на схожу адресу зловмисника. Цей метод атаки називається «отруєння адреси» (Address Poisoning), використовуючи звичку користувачів копіювати адреси з записів транзакцій, впроваджуючи схожі адреси для спонукання до помилкових переказів.

Після нападу жертва надіслала хакеру повідомлення у блокчейні: «Ми офіційно подали кримінський позов. За допомогою правоохоронних органів, органів кібербезпеки та кількох блокчейн-протоколів ми зібрали велику кількість суттєвої та конкретної інформації про твою діяльність. Кошелек, яким ти керуєш, в даний момент знаходиться під цілодобовим спостереженням. Це твій останній шанс мирно вирішити це питання. Тебе просять протягом 48 годин повернути 98% вкрадених активів, ти можеш залишити 1,000,000 USD як 'бонус за виявлення вразливості'.

Ця стратегія переговорів «спочатку礼, потім зброя» є надзвичайно поширеною у крипто-індустрії. Жертви зазвичай спочатку намагаються домовитися з хакерами, пропонуючи винагороду за повернення активів, оскільки повернення вкрадених криптовалют є дуже складним. Якщо хакери відмовляються, то через правоохоронні органи та компанії з аналізу блокчейнів відстежують, але ймовірність успіху все ще залишається дуже низькою.

Три етапи схеми атаки на адресу

Перший етап, генерування схожих адрес: зловмисник використовує інструменти для створення адрес, які мають однакові початкові та кінцеві символи з адресою цілі, зовнішній вигляд яких є надзвичайно схожим.

Другий етап, відправка токенів пилу: надішліть дуже малу суму (наприклад, 0.005 USDT) на адресу жертви, щоб схожі адреси з'явилися в історії транзакцій.

Третій етап, введення в оману: жертва, копіюючи адресу з історії транзакцій, може випадково скопіювати схожу адресу, що призведе до переведення великої суми коштів на гаманець нападника.

Метод захисту від такої атаки надзвичайно простий: кожного разу, коли ви здійснюєте переказ, ретельно перевіряйте повну адресу, а не лише перші та останні кілька символів. Однак лінощі і звички людей призводять до повторення цієї простої помилки. Коли сума переказу досягає 50 мільйонів доларів, ціна такої недбалості є катастрофічною.

Відверта абсурдність тесту 500 монет BTC Ван Чунь

Коли спільнота оплакувала жертв на 50 мільйонів USDT, зізнання співзасновника F2Pool Ван Чуна приголомшило всіх. «Минулого року я запідозрив, що мій приватний ключ міг бути скомпрометований. Щоб підтвердити, чи дійсно цей адрес безпечний, я перевів туди 500 біт». Абсурдність цього кроку полягає в тому, що, маючи підозри про витік приватного ключа, нормальна людина повинна була б негайно припинити використання цього адреса та перевести всі активи, але Ван Чун здійснив протилежну дію, свідомо перевівши велику суму для «тестування».

Ця логіка схожа на: якщо сумніваєшся, що замок на дверях зламаний, то не поспішай ремонтувати його, а краще поклади велику кількість готівки вдома, щоб подивитися, чи її вкрадуть. Якщо дійсно вкрадуть, це не лише підтвердить, що замок зламаний, але й призведе до втрати майна. Метод тестування Ван Чуна абсолютно незрозумілий у очах експертів з безпеки, оскільки він перетворює сумніви на певність, а потенційні втрати на фактичні втрати.

Дивно, але хакери поводилися дуже «щедро», забравши лише 490 монет, а мені залишили 10 монет Біткойна на повсякденні витрати. Така іронічна манера висловлювання Вана Чуна просто вражає. 490 монет Біткойна на той час (лютий 2024 року) коштували приблизно 24,5 мільйона доларів, 10 монет - близько 500 тисяч доларів. Для звичайної людини 500 тисяч доларів достатньо, щоб змінити долю, але в устах Вана Чуна це лише «витрати на повсякденне життя».

Щодо адреси хакера, наданої Ваном Чунем 14H12PpQNzrS1y1ipjF4mPuVgQEpgfGA79, після відстеження історичних записів було виявлено, що 12 лютого 2024 року дійсно відбулися відповідні записи про переказ. Це підтверджує правдивість слів Вана Чуна, що це не вигадка, а справжні великі втрати. Проте сам Ван Чунь не дав більше пояснень щодо цього питання, не розкрив, як підозрює витік приватного ключа, не сказав, чи подавав заяву в поліцію для розслідування, і не пояснив, чому обрав такий абсурдний метод тестування.

Світ багатих і сльози та уроки безпеки приватних ключів

Відвертість Ван Чуньюн під легким вітром викликала у всіх у спільноті вигуки: «Світ багатих справді не є спільним досвідом для простих людей». F2Pool, як один з найбільших майнінгових пулів у світі, дійсно має багатство, яке перевищує уявлення звичайних людей. Але така позиція «втратити 25 мільйонів доларів і все ще жартувати» для звичайного інвестора є одночасно заздрістю і попередженням.

Заздрю стану фінансової свободи. Коли ваше багатство значно перевищує потреби життя, втрата 25 мільйонів доларів, хоч і болісна, але не є смертельною. Ван Чун може бути таким спокійним, що показує, що його загальне багатство, ймовірно, перевищує кілька сотень мільйонів доларів, втрата 490 BTC є лише невеликою частиною його активів. Ця фінансова свобода дозволяє йому витримувати ризики та втрати, які звичайні люди не можуть навіть уявити.

Попереджається про жорстокість безпеки приватних ключів. «Not your keys, not your coins» (приватний ключ не у вас – монета не ваша) є залізним правилом криптосвіту. Як тільки приватний ключ буде скомпрометований, незалежно від того, мільярдер ви чи звичайний інвестор, активи миттєво обнуляться. Ще гірше те, що перекази криптовалюти є незворотними, жоден банк не може заморозити, жоден суд не може повернути, а те, що викрав хакер, майже неможливо повернути.

Випадок Вана Чуна виявляє кілька ключових уроків. По-перше, коли є підозра на витік приватного ключа, правильним рішенням є негайно деактивувати цю адресу та перевести активи на нову адресу, а не переводити великі суми для тестування. По-друге, управління приватними ключами повинно використовувати багатопідпис, апаратні гаманці, розділення холодного та гарячого зберігання та інші заходи безпеки, адже ризики, пов'язані з єдиним приватним ключем, занадто високі. По-третє, навіть такі провідні експерти галузі, як F2Pool, можуть припуститися фатальних помилок у питаннях безпеки, ніхто не може бути байдужим.

Для звичайних інвесторів ця історія надає надзвичайно цінний, але дорогий урок. Якщо ви підозрюєте витік приватного ключа, слід негайно: зупинити використання цієї адреси, перевести активи на нову адресу (після невеликого тестового переказу, а потім перевести велику суму), перевірити всі можливі шляхи витоку (комп'ютерні віруси, фішингові сайти, соціальна інженерія), розглянути можливість подання заяви в поліцію та звернутися за допомогою до професійних компаній з безпеки. Абсолютно не слід, як Ван Чун, активно переводити великі суми на “тест”, оскільки ви можете не мати таких фінансових можливостей, щоб витримати втрати.

Вчинок хакера, який “щедро” залишив 10 монет BTC, також варто проаналізувати. Це може бути психологічною тактикою хакера: повне очищення активів може розлюти жертву, яка без вагань почне їх шукати, але залишення невеликої “гроші на життя” може спонукати жертву вибрати варіант здаватися. Для Ван Чуна, який має сотні мільйонів активів, втрата 490 монет хоч і болісна, та не варта витрати великої кількості часу та сил на пошуки. Хакер точно зрозумів цю психологію, адже він забрав більшість активів і знизив ризик бути повністю відстеженим.

Ця подія контрастує з фішинговою атакою на 50 мільйонів USDT. У першому випадку жертва необережно скопіювала неправильну адресу, у другому - жертва свідомо ризикувала, все ще активуючи переказ. Спільною рисою обох випадків є те, що людські помилки є найбільшою причиною втрати криптоактивів, значно перевищуючи злами бірж або вразливості смарт-контрактів. Яка б технологія не була розвинутою, вона не може захистити від людської недбалості та психології удачі.

Для криптоіндустрії ці випадки попереджають усіх учасників: безпека приватного ключа є критично важливою основою. Незалежно від того, чи ви є роздрібним інвестором з 0.1 BTC, чи китом з 500 BTC, як тільки приватний ключ буде скомпрометований або переведено не на ту адресу, наслідки будуть незворотними. У цьому світі “код є законом” немає можливості для жалю, єдине захист - це перевіряти все кілька разів перед кожною операцією, сумніватися більше і бути обережнішими. Урок у 25 мільйонів доларів, який дав Ван Чунь, став дорогою, але глибокою лекцією з безпеки для всієї індустрії.