$50M USDT ضياع في عنوان التسمم الاحتيالي على السلسلة

المصدر: CryptoTale العنوان الأصلي: $50M USDT ضائع في عملية تسميم العنوان واحتيال على السلسلة الرابط الأصلي: https://cryptotale.org/50m-usdt-lost-in-address-poisoning-on-chain-scam/

• فُقدت $50M USDT بعد أن قام مستخدم بنسخ عنوان محفظة مسموم من سجل المعاملات.
• اعتمد الاحتيال على تحويلات الغبار وعناوين متماثلة، وليس على استغلال بروتوكولي.
• قال تشارلز هوسكينسون إن نماذج البلوكتشين القائمة على الحساب تتيح مخاطر تسميم العنوان.

خسر مستخدم للعملات الرقمية وقع ضحية لعملية احتيال تسميم العنوان ما يقرب من $50 مليون في USDT. حدث الاستغلال عبر سلسلة من المعاملات على السلسلة وتم اكتشافه في النهاية بواسطة شركة أمنية للبلوكتشين. تبرز الحالة بسبب حجم الخسارة وغياب أي خرق للبروتوكول أو استغلال لعقد ذكي.

تم اكتشاف السرقة لأول مرة بواسطة Web3 Antivirus، الذي أشار إلى سلوك غير طبيعي في المعاملات. وفقًا لبيانات على السلسلة، أرسل الضحية عن غير قصد 49,999,950 دولارًا من USDT إلى محفظة هاكر. سبقت الدفع عملية اختبار صغيرة بهدف تأكيد عنوان الوجهة. وأُرسلت المعاملة الأخيرة إلى محفظة أخرى.

هوسكينسون يقارن بين سلاسل الحسابات وأنظمة UTXO

أدى الحادث إلى تعليق من تشارلز هوسكينسون. قال إن مثل هذه الخسائر مرتبطة ارتباطًا وثيقًا بنماذج البلوكتشين القائمة على الحسابات. تعتمد هذه الأنظمة على عناوين مستمرة وسجلات معاملات مرئية. يسمح هذا الهيكل للمهاجمين بالتلاعب بما يراه المستخدمون عند نسخ العناوين.

قارن هوسكينسون ذلك مع سلاسل UTXO مثل بيتكوين وكاردانو. في تلك الأنظمة، تستهلك المعاملات وتخلق مخرجات منفصلة. تبني المحافظ المدفوعات من مخرجات محددة بدلاً من استخدام نقاط نهاية حسابات معاد استخدامها. لا توجد سجل عناوين مستمر للتسميم بنفس الشكل.

كانت محفظة الضحية نشطة لمدة حوالي عامين وكانت تستخدم بشكل رئيسي لنقل USDT. بعد سحب الأموال من بورصة رئيسية، تلقت المحفظة ما يقرب من $50 مليون. أرسل المستخدم معاملة اختبار إلى المستلم المقصود. بعد دقائق، تم تحويل الرصيد المتبقي باستخدام عنوان غير صحيح.

يقول المحققون إن المحتال توقع هذا السلوك. بعد عملية النقل الاختبارية، أنشأ المهاجم عنوان محفظة جديد مصمم ليشبه بشكل كبير الوجهة الشرعية. كانت الأحرف الأولى والأخيرة متطابقة. نظرًا لأن العديد من المحافظ تختصر العناوين في سجلات المعاملات، بدا العنوان الاحتيالي مشابهًا بصريًا للعنوان الحقيقي.

كيف استخدم تسميم العنوان تحويلات الغبار لسرقة $50

لتعزيز الخداع، أرسل المهاجم معاملة غبار صغيرة إلى محفظة الضحية. أدخل هذا الإجراء العنوان المزيف في سجل المعاملات. عندما قام المستخدم لاحقًا بنسخ العنوان من النشاط السابق، تم اختيار الإدخال المسموم. ثم تم تحويل الأموال مباشرة إلى محفظة المهاجم دون مزيد من التحقق.

تعمل عمليات احتيال تسميم العنوان على نطاق واسع. يوزع الروبوتات الآلية معاملات غبار على المحافظ التي تحتوي على أرصدة كبيرة. الهدف هو استغلال عادات النسخ واللصق الروتينية خلال عمليات النقل المستقبلية. معظم المحاولات لا تنجح، لكن خطأ واحد يمكن أن يؤدي إلى خسارة كبيرة، كما هو موضح في هذه الحالة.

تُظهر سجلات البلوكتشين أن USDT المسروقة تم مبادلتها بسرعة مقابل إيثير على شبكة إيثيريوم. ثم نُقلت الأصول عبر سلسلة من المحافظ الوسيطة. تفاعلت العديد من هذه العناوين لاحقًا مع Tornado Cash. وهو مدمج يُستخدم عادة لإخفاء آثار المعاملات.

تشير حركة الأموال إلى محاولة لتعقيد التتبع بدلاً من التصرف الفوري. لم يتم تأكيد استرداد الأصول بعد. لم يرد المهاجم علنًا. يستمر المراقبة على العناوين ذات الصلة من خلال التحليل على السلسلة.

بعد الحادث، كتب الضحية ملاحظة على السلسلة للمهاجم. طالبت الرسالة بإعادة 98% من الأموال المسروقة خلال 48 ساعة. ووعدت بمبلغ $50M مليون كمكافأة من نوع “القبعة البيضاء” إذا تم استرداد الأصول بالكامل. كما هددت الرسالة بالتصعيد القانوني ورفع دعاوى جنائية.

يؤكد محللو الأمن أن الأمر لم يكن خللًا في البروتوكول. لم يتم تجاوز أي تدابير تشفيرية. كانت الخسارة نتيجة لتصميم الواجهة وسلوك المستخدمين الشائع. تستغل عمليات احتيال تسميم العنوان مطابقة العنوان الجزئية والاعتماد على سجل المعاملات. في أقل من ساعة، أدت هذه العوامل إلى خسارة قدرها $1 مليون.