Wang Chun war auch ein Opfer: 50 Millionen USD Lehrgeld. Warum ist Address Poisoning so erfolgreich?

Originaltitel: "50 Millionen USD gestohlen wegen fehlender Adressprüfung"

Autor: Eric, Foresight News

Gestern Morgen (Pekinger Zeit) entdeckte ein Blockchain-Analyst namens Specter einen Fall, bei dem fast 50 Millionen USDT aufgrund mangelnder Adressprüfung an die Adresse eines Hackers transferiert wurden.

Laut Untersuchungen des Autors hob die Adresse (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) am 19. um ca. 13:00 Uhr Pekinger Zeit 50 USDT von Binance für einen Test ab.

Etwa 10 Stunden später hob die Adresse 49.999.950 USDT in einer einzigen Transaktion von Binance ab, was zusammen mit den vorherigen 50 USDT genau 50 Millionen ergab.

Etwa 20 Minuten später transferierte die Adresse, die die 50 Millionen USDT erhielt, zunächst 50 USDT zu Testzwecken an die Adresse 0xbaf4…95F8b5.

Weniger als 15 Minuten nach der Testtransaktion transferierte die Hacker-Adresse 0xbaff…08f8b5 0,005 USDT an die Adresse, die die restlichen 49.999.950 USDT hielt. Die Hacker-Adresse hatte einen sehr ähnlichen Anfang und Ende wie die Adresse, die die 50 USDT empfing, was auf einen klaren "Address Poisoning"-Angriff hindeutet.

10 Minuten später, als die Adresse, die mit 0xcB80 begann, versuchte, die restlichen 40+ Millionen USDT zu transferieren, kopierte sie aufgrund von Fahrlässigkeit versehentlich die vorherige Transaktion – also die Adresse, die der Hacker für das "Poisoning" verwendet hatte – und sandte fast 50 Millionen USDT direkt an den Hacker.

Nach Erhalt der 50 Millionen USD startete der Hacker nur 30 Minuten später Geldwäscheaktivitäten. Laut SlowMist-Überwachung konvertierte der Hacker zunächst die USDT via MetaMask in DAI, nutzte dann alle DAI, um etwa 16.690 Ethereum zu kaufen, behielt 10 ETH und transferierte das restliche Ethereum an Tornado Cash.

Gestern gegen 16:00 Uhr (Pekinger Zeit) forderte das Opfer den Hacker on-chain auf und erklärte, dass bereits Strafanzeige erstattet wurde. Mit Unterstützung von Strafverfolgungsbehörden, Cybersicherheitsorganisationen und mehreren Blockchain-Protokollen wurden zahlreiche glaubwürdige Informationen über die Aktivitäten des Hackers gesammelt. Das Opfer erklärte, der Hacker könne 1 Million USD behalten und die restlichen 98 % der Gelder zurückgeben. Wenn der Hacker kooperiert, werden keine weiteren Schritte unternommen; sollte er jedoch nicht kooperieren, wird er straf- und zivilrechtlich verfolgt und seine Identität öffentlich gemacht. Bisher hat der Hacker nicht reagiert.

Laut Daten der Arkham-Plattform weist diese Adresse Aufzeichnungen über große Transfers mit Binance, Kraken, Coinhako und Cobo-Adressen auf. Während Binance, Kraken und Cobo bekannt sind, ist Coinhako möglicherweise weniger geläufig. Coinhako ist eine lokale singapurische Krypto Börse, die 2014 gegründet wurde. Im Jahr 2022 erhielt sie eine Lizenz als Major Payment Institution von der Monetary Authority of Singapore.

Da diese Adresse mit mehreren Börsen und Cobo-Verwahrungsdiensten interagierte und innerhalb von 24 Stunden nach dem Vorfall in der Lage war, verschiedene Parteien zur Verfolgung des Hackers zu kontaktieren, vermutet der Autor, dass diese Adresse eher einer Organisation als einer Einzelperson gehört.

From "Oops" to a Costly Mistake

Die einzige Erklärung für einen erfolgreichen "Address Poisoning"-Angriff ist "Unachtsamkeit". Solche Angriffe können leicht vermieden werden, indem man die Adresse vor einer Transaktion doppelt prüft, aber offensichtlich hat die zentrale Figur in diesem Vorfall diesen entscheidenden Schritt übersprungen.

Address Poisoning-Angriffe traten 2022 auf, wobei die Geschichte von einem "Fancy Address"-Generator stammt, einem Tool, das die Anpassung des EVM-Adresspräfixes ermöglicht. Zum Beispiel könnte der Autor eine Adresse generieren, die mit 0xeric beginnt, um sie erkennbarer zu machen.

Der Hacker entdeckte später, dass dieses Tool aufgrund eines Designfehlers private key per Brute-Force knacken konnte, was zu mehreren großen Diebstählen führte. Die Möglichkeit, Adressen mit benutzerdefinierten Präfixen und Suffixen zu generieren, löste jedoch auch eine finstere Idee aus: Durch das Erstellen von Adressen, die dem Anfang und Ende der häufig verwendeten Transferadresse eines Benutzers ähneln, könnten einige Personen ihre on-chain Vermögenswerte versehentlich an die Adresse des Hackers senden, in der Annahme, es sei ihre eigene.

Historische on-chain Daten zeigen, dass die mit 0xcB80 beginnende Adresse vor diesem Angriff eines der Hauptziele für Address Poisoning durch den Hacker war, wobei der Angriff vor fast einem Jahr begann. Diese Angriffsmethode beruht grundlegend darauf, dass der Hacker darauf wettet, dass Sie eines Tages aufgrund von Faulheit oder Unaufmerksamkeit auf den Trick hereinfallen. Ironischerweise hat diese offensichtliche Angriffsmethode dazu geführt, dass immer mehr "unachtsame" Personen zu Opfern werden.

Als Reaktion auf diesen Vorfall drückte F2Pool-Mitbegründer Wang Chun den Opfern sein Mitgefühl aus. Er erwähnte, dass er letztes Jahr, um zu testen, ob seine Adresse einen Leak des private key erlebt hatte, 500 Bitcoin an sie sandte, nur damit 490 Bitcoin von Hackern gestohlen wurden. Obwohl Wang Chuns Erfahrung nicht direkt mit Address Poisoning-Angriffen zusammenhängt, wollte er wahrscheinlich vermitteln, dass jeder Momente der Unachtsamkeit hat und man die Opfer nicht für ihre Nachlässigkeit beschuldigen sollte, sondern den Finger auf die Hacker richten muss.

Ein Verlust von 50 Millionen USD ist kein kleiner Betrag, aber nicht der höchste, der bei solchen Angriffen gestohlen wurde. Im Mai 2024 wurde eine Adresse Opfer eines ähnlichen Angriffs, bei dem über 70 Millionen USD an verpacktem Bitcoin (WBTC) an die Adresse eines Hackers gesendet wurden. Das Opfer konnte jedoch fast alle Gelder durch on-chain Verhandlungen mit Unterstützung von Sicherheitsfirmen und der Cryptex-Handelsplattform zurückgewinnen. In diesem aktuellen Vorfall konvertierte der Hacker die gestohlenen Gelder schnell in Ethereum und transferierte sie an Tornado Cash, was die Möglichkeit einer Wiederherstellung ungewiss macht.

Casa-Mitbegründer und Chief Security Officer Jameson Lopp warnte im April, dass Address Poisoning-Angriffe schnell zunahmen, mit über 48.000 solcher Vorfälle allein im Bitcoin-Netzwerk seit 2023.

Diese Angriffsmethoden, einschließlich gefälschter Zoom-Meeting-Links auf Telegram, sind nicht raffiniert, aber genau dieser "einfache" Ansatz kann Menschen unvorbereitet treffen. Für uns im dunklen Wald ist es immer besser, besonders vorsichtig zu sein.

Original Article Link