Kryptowaluty tracą 62 mln USD w wyniku ataków z użyciem podszywania się pod adresy

Jak błędy portfeli i phishing doprowadziły do strat kryptowalutowych o wartości 62 mln USD

Dwóch użytkowników kryptowalut straciło 12,25 miliona dolarów i 50 milionów dolarów po skopiowaniu nieprawidłowych adresów portfeli, jak donosi CryptoPotato. Łączna kwota 62 milionów dolarów pokazuje, jak jeden błąd kopiuj-wklej może przerodzić się w trwałą stratę w łańcuchu. W każdym przypadku błędnie zaadresowany transfer przeniósł środki do niezamierzonego miejsca docelowego bez praktycznej możliwości odwołania.

Zatruwanie adresów, taktyka polegająca na umieszczeniu podobnego adresu w ostatniej aktywności ofiary, aby został później przypadkowo skopiowany, staje się jednym z najdroższych oszustw kryptowalutowych, według Invezz. Atakujący wykorzystują rutynowe zachowania, niekoniecznie luki w oprogramowaniu.

Błędy operacyjne na giełdach stanowią oddzielną kategorię ryzyka w stosunku do phishingu po stronie użytkownika. Południowokoreańscy regulatorzy wszczęli śledztwo wobec Bithumb po tym, jak giełda przypadkowo wysłała około 43 miliardów dolarów w Bitcoin z powodu wewnętrznego błędu, jak donosi Decrypt. Incydent ten odzwierciedla awarię przetwarzania instytucjonalnego, podczas gdy zatruwanie adresów i błędy kopiuj-wklej są ścieżkami inicjowanymi przez użytkowników.

Dlaczego to ma znaczenie teraz i natychmiastowe kroki zapobiegania stratom

Te incydenty mają teraz znaczenie, ponieważ straty wynikają z codziennych przepływów pracy, takich jak kopiowanie odbiorcy z czatu lub listy ostatniej aktywności. Wzmocnienie podstawowej weryfikacji adresów docelowych może znacząco zmniejszyć narażenie.

Praktyki zmniejszające ryzyko obejmują weryfikację całego ciągu docelowego z niezależnego, zaufanego źródła oraz unikanie polegania na ostatnio widzianych adresach. Wiele platform oferuje listy dozwolonych adresów i alerty transakcyjne, a mały transfer testowy może potwierdzić, że nowy adres działa zgodnie z oczekiwaniami. Klucze prywatne i frazy seed nigdy nie powinny być udostępniane, a niechciane kontakty „wsparcia" wymagają skrajnego sceptycyzmu.

Wytyczne platformy odzwierciedlają te zabezpieczenia i przestrzegają przed pułapkami inżynierii społecznej podszywającymi się pod pilne problemy z kontem. „Coinbase nigdy nie poprosi o dane logowania, klucz API ani kody uwierzytelniania dwuskładnikowego. Nie poprosimy również o transfer środków" – powiedziała Jaclyn Sales, Dyrektor ds. Komunikacji w Coinbase. Nacisk kładziony jest na weryfikację żądań i kanałów przed podjęciem jakichkolwiek działań, które mogą przenieść aktywa.

W momencie pisania, opóźnione dane z NasdaqGS wskazywały, że notowanie akcji COIN zamknęło się w pobliżu 165,12 USD 6 lutego, z poziomami po godzinach handlu około 165,86 USD. Dane zostały oznaczone jako opóźnione i są podane dla kontekstu, a nie jako wytyczne transakcyjne. Poziomy rynkowe nie zmieniają mechaniki weryfikacji adresów, ale określają środowisko, w którym materializują się ryzyka operacyjne i phishingowe.

Wyjaśnienie zatruwania adresów: jak podobne adresy oszukują nadawców

W konfiguracji zatruwania adresów atakujący generuje adres, który wizualnie przypomina legalnego odbiorcy, a następnie wysyła małą lub zerową wartość transakcji, aby przynęta pojawiła się w historii ofiary. Później, gdy ofiara kopiuje adres z wcześniejszej aktywności, wybierany jest podobny zamiast zamierzonego. Ponieważ blockchainy finalizują transfery bez sprawdzania nazw, środki podążają dokładnie za sfałszowanym ciągiem.

Proste środki zaradcze koncentrują się na integralności źródła i porównaniu end-to-end. Uzyskaj adres odbiorcy bezpośrednio od zamierzonej strony za pośrednictwem zweryfikowanego kanału, następnie porównaj każdy znak przed zatwierdzeniem transakcji; tam gdzie dostępne, użyj zapisanych list dozwolonych i wykonaj nominalny transfer testowy przed wysłaniem głównej kwoty.