Isang crypto investor ang nabiktima at nawala ang 4,556 Ethereum (nasa $12.4 milyon ang value) matapos mahulog sa isang matinding “address poisoning” attack.
Inanunsyo ni Specter, isang blockchain analyst na gumagamit ng alias, na nangyari ang nakawan mga 32 oras matapos magpadala ng maliit na transaction ang attacker sa wallet ng biktima.
Ethereum Holder Naloko: Milyon Nawala Dahil sa Pekeng Kamukhang Address
Ayon sa on-chain analysis ni Specter, halos dalawang buwan inabangan ng hacker ang mga galaw sa wallet ng biktima. Sa panahong ‘yun, inisa-isa ng hacker ang deposit address na ginagamit sa mga OTC settlement.
Gumamit ang attacker ng vanity address generator para mag-create ng wallet na halos kapareho ng original address. Parehas ang unang at huling mga character ng fake address sa totoong destination ng biktima.
Ang address poisoning umaasa sa ugali ng users na kadalasan, unang at huling bahagi lang ng address ang chine-check sa mahahabang hexadecimal na address. Sa kaso na ito, halos identical ang fake wallet at ang legit OTC address – kaya madaling malito ang kahit sino.
Sa simula, nagpadala muna ng maliit na transaction papunta sa wallet ng biktima ang attacker. Ginawa ‘to para makita agad ng biktima yung fake address sa pinaka-unahan ng “recent transactions”. Talagang tinarget para mahulog ang biktima kalaunan.
Dahil dito, nung gusto na ilipat ng biktima ang $12.4 milyon, ang nakopya niya ay yung poisoned address imbes na yung tamang address.
Pangalawa na itong malaking ninakaw gamit ang ganitong klase ng scam nitong mga nakaraang linggo. Noong nakaraan, nasa $50 milyon din ang nawala sa isang trader gamit ang halos parehong modus.
Sinasabi ng ilang eksperto na dumadami ang ganitong klaseng hacking kasi maraming wallet interface ang nagkakaltas o nagpapalabo ng gitnang bahagi ng address para mas mapagkasya sa screen. Dahil dito, natatago ang mga parte ng address na magkakaiba sana.
Sa kabilang banda, nagdudulot ito ng tanong tungkol sa security at verification process ng mga malalaking investor na parang institusyon.
Kadalasan, ang mga retail trader copy-paste lang ng address kapag nagta-transfer. Pero kung malaking halaga ang pinapadala, tumitiyak ang mga kompanya gamit ang whitelist at test transaction.
Dahil dito, nagbigay ng babala ang blockchain security firm na Scam Sniffer at sinabi nilang ‘wag lang umasa sa “recent transactions” kapag nagpapadala ng crypto. Mas okay kung verified at “hard-coded” na address book ang gamitin para makaiwas sa mga scam na ganito.
