#EthereumSecurityAlert

$50M Потеряно из-за отравления адреса: почему UX кошелька теперь является критической поверхностью атаки
Недавняя кража $50 миллиона USDT на Ethereum выявила тихую, но высокомасштабируемую угрозу, затрагивающую как розничных пользователей, так и учреждения: атаки отравления адресов. Это не было эксплуатацией смарт-контракта или сбоем протокола — это была предсказуемая уязвимость UX, которую злоумышленники научились индустриализировать.
В данном случае жертва намеревалась отправить средства на знакомый кошелек. Неизвестно им, злоумышленник уже внедрил поддельный адрес-клон в их историю транзакций, используя мелкие переводы. Зловредный адрес имел такие же начальные и конечные символы, как и легитимный. Поскольку большинство кошельков визуально сокращают адреса, разница оставалась скрытой.
Полагаясь на список "недавних транзакций" и сокращенный формат адреса, жертва скопировала отравленный адрес и одобрила массовый перевод. В течение нескольких минут почти $50 миллионов было безвозвратно отправлено злоумышленнику.
Это не единичная ошибка — это системный сбой в дизайне.
Отравление адресов работает, потому что кошельки учат пользователей доверять частичной информации. Когда адрес отображается как 0xABCD…7890, пользователи подсознательно проверяют только то, что они могут видеть. Злоумышленники используют это, создавая тысячи адресов с совпадающими префиксами и суффиксами, а затем внедряя их в кошельки через недорогие транзакции. С помощью современных инструментов GPU этот процесс дешев, быстр и крайне эффективен.
Еще более тревожно: исследования десятков кошельков Ethereum показывают, что большинство из них не предоставляет никаких значимых предупреждений, когда пользователи взаимодействуют с визуально похожими адресами. Нет выделения различий. Нет предупреждений о схожести. Нет трения — даже для переводов с первого раза или высоких сумм. Это означает, что даже опытные операторы могут быть введены в заблуждение.
В инциденте $50M жертва последовала общепринятой рекомендации по безопасности: небольшая тестовая транзакция. Но вскоре после этого окончательный перевод отправился на отравленный адрес. Нападающий быстро обменял средства, перебросил активы и пропустил их через миксеры — закрыв окно восстановления менее чем за 30 минут.
Вывод ясен: безопасность больше не может зависеть только от бдительности пользователей.
Кошельки должны рассматривать проверку адресов как основную функцию безопасности. Полное отображение адреса, инструменты визуального сравнения, обнаружение почти совпадений и сильные предупреждения для незнакомых или похожих адресов должны быть стандартом. ENS и системы именования помогают, но только когда они прозрачно разрешены и независимо проверены.
Для трейдеров, DAO и управляющих казной операционная дисциплина теперь обязательна:
Никогда не доверяйте адресам из истории транзакций
Всегда проверяйте полные адреса через второй канал
Используйте белые списки и многофакторные одобрения
Мониторьте кошельки на наличие пыли и схожей активности
В противоборствующих системах, таких как криптовалюта, удобство без безопасности становится вектором атаки. Пока пользовательский интерфейс кошельков не эволюционирует, отравление адресов останется одним из самых быстрых, чистых и прибыльных способов эксплуатации в экосистеме.