Небезпеки помилок вставки: як за кілька секунд сталася втрата ETH на 12,4 млн доларів

У одній із найдорожчих помилок копіювання та вставлення в історії блокчейну користувач втратив 4 556 ETH, оцінюваних приблизно у $12,4 мільйони. Інцидент слугує моторошним нагадуванням про те, що у децентралізованих мережах система не цікавиться вашими намірами — її цікавлять лише адреси гаманців. Це не був складний хак або експлойт смарт-контракту; це була людська помилка, посилена недбалим поводженням з адресами.

Важливий патерн: рутинні транзакції та приховані ризики

Гаманець жертви встановив стабільний патерн: регулярні депозити до Galaxy Digital, використовуючи одну й ту ж перевірену адресу для внесків (0x6D90CC8Ce83B6D0ACf634ED45d4bCc37eDdD2E48). Ця рутина створювала передбачуваність — щось, що зловмисник міг використати. Безпека через повторення часто вважається достатньою, але вона може стати вразливістю, якщо хтось стежить за історією ваших транзакцій.

Схема зловмисника: створення майже ідеальної фальшивої адреси

Злочинець виявив цей патерн і розробив складну пастку. Він створив фальшиву адресу, яка майже ідентична легітимній — 0x6d908Bb7F81454d378194FF0E9f471334e592E48. Щоб зробити свою адресу більш правдоподібною, вони застосували техніку, відому як “dust bombing” — надсилання мізерних транзакцій на адресу жертви для наповнення історії транзакцій. Ці малі, на перший погляд незначні перекази були приманкою, щоб фальшива адреса з’явилася у недавніх записах транзакцій.

Момент, коли все змінилося: один неправильний копіпаст

Близько 11 годин тому жертва ініціювала ще один депозит. Замість того, щоб вручну ввести адресу Galaxy Digital або ретельно її перевірити, вони прийняли фатальне рішення: скопіювали адресу безпосередньо з історії транзакцій. У мить ока вони обрали неправильну — адресу зловмисника замість легітимної. Транзакція була підтверджена у незмінному блокчейні. 4 556 ETH зникли миттєво, безпосередньо переказані на гаманець зловмисника.

Критичні уроки для кожного власника гаманця

Цей інцидент підкреслює кілька важливих правил безпеки:

Ніколи не вставляйте адреси з історії транзакцій. Навіть якщо це здається зручним, історії транзакцій можна маніпулювати за допомогою dust-атак. Замість цього перевіряйте адреси через офіційні канали — сайт біржі, перевірений API або довірений закладений закладкою ресурс.

Завжди двічі перевіряйте перші та останні символи будь-якої адреси перед підтвердженням транзакції, особливо для великих сум. Зловмисники часто імітують ці видимі частини, змінюючи середину.

Розгляньте можливість використання апаратних гаманців з дисплеями для перевірки адрес. Деякі апаратні гаманці показують повну адресу на своїх захищених екранах, що ускладнює помилки копіювання та вставлення.

Увімкніть функції білого списку, якщо ваша біржа або гаманець їх підтримують. Це обмежує зняття коштів лише з попередньо схвалених адрес.

Незмінність блокчейну — це і його найбільша сила, і найжорстокіший суддя. Як тільки транзакція надійшла на неправильну адресу, скасувати її неможливо. Втрата у $12.4М є постійною. У цьому випадку кілька секунд недбалості коштували мільйонів — яскраве нагадування, що у криптовалюті точність не є опцією; вона є обов’язковою.