Reading time: 3 min
12/01/23
Nowa sztuczka oszustów: zatrucie adresu portfela
Trzeba być wiecznie czujnym na czyhające niebezpieczeństwo
W sferze kryptowalut nie brakuje oszustw. Projekty Rug-pull, nierealistyczne APY, sztuczki w celu uzyskania kluczy prywatnych ludzi, itd. Jednak na rynek wchodzi nowe niebezpieczeństwo "zatruwanie adresów". Jak to działa i jak użytkownicy mogą go uniknąć?
Zatruwanie adresów jest łatwe do przeoczenia
Każdy, kto posiada portfel kryptowalutowy, najprawdopodobniej zauważył, że każdy portfel ma adres składający się z losowych liczb i liter. Kod szesnastkowy jest w tym przypadku jednocześnie zbawieniem i klątwą. Z jednej strony, potencjalny sprawca nigdy nie może losowo odgadnąć kodu, co czyni go bezpiecznym w użyciu. Z drugiej jednak strony, niezrozumiały kod jest niezwykle trudny do zapamiętania.
Wtedy właśnie do akcji wkracza mechanizm rozpoznawczy mózgu. Udowodniono, że nawet podczas czytania nasz mózg rozpoznaje kilka pierwszych i ostatnich liter danego słowa, szybko uzupełniając puste miejsca. Ten dokładny mechanizm sprawia, że trudniej jest złapać błędy ortograficzne w środkowej części słowa. Pomijając wyzwania ortograficzne, wielu użytkowników rozpoznaje numer portfela po pierwszych i ostatnich symbolach
Jeden z najczęstszych błędów popełnianych przez kryptowaluciarzy
Na czym więc naturalnie polegamy? Kopiowanie i wklejanie adresu. Przecież nie można popełniać błędów, prawda? Dodatkowo adresy portfeli w dzienniku transakcji często wydają się krótsze, odwieczna walka długiego skryptu na małym ekranie. Wygoda czyni nas nieostrożnymi, a oszuści, naturalnie, o tym wiedzą.
Jak oszustwo działa w praktyce?
Niefrasobliwy użytkownik wysyła transakcję do swojego partnera. Nic szczególnego; jest to codzienny, nieduży przelew. Oszust wykorzystuje oprogramowanie, które monitoruje transfery pewnych tokenów - najczęściej stablecoinów - a następnie wykorzystuje generator adresów "vanity", który wypluwa adres ściśle odpowiadający portfelowi użytkownika lub jego partnera. Sprawca zatrucia adresu wysyła następnie niewielką kwotę ze swojego prawdziwego portfela do stworzonego przez siebie "fałszywego portfela", który naśladuje Twój adres. Częściej niż nie, może to być nawet transakcja o zerowej wartości. Robiąc to, "zatruwają" Twój adres. Następnym razem, gdy będziesz musiał skopiować adres swojego portfela z historii transakcji, bo przecież robisz ją codziennie i zawsze tak robiłeś to jest duża szansa, że się pomylisz i skopiujesz zamiast niego zatruty adres. Są one długie, a Ty i tak pamiętasz tylko pierwsze i ostatnie kilka znaków, prawda? Gratulacje, wysłałeś środki na inny adres zamiast na swój własny.
W świecie kryptowalut i blockchaina zbyt łatwo jest wpaść w pułapkę. Wraz ze wzrostem popularności i adopcji kryptowalut, rośnie również ich wartość, co czyni je atrakcyjnym celem dla oszustów. Jak chronić się przed oszustwem?
Ochrona prywatnych informacji przed tym nowym oszustwem jest dość prosta: zawsze podwójne sprawdzenie CAŁEGO adresu portfela pomoże uniknąć oszustwa. Dodatkowo, zatrucie adresu nie uniemożliwia prawowitemu właścicielowi bezpieczne korzystanie z portfela. W ten sposób całe oszustwo opiera się na ludzkim błędzie - co nakłada odpowiedzialność wyłącznie na barki użytkownika. Podwójne sprawdzanie każdej transakcji wystarczy, aby nie dać się nabrać. Ponadto, jest to ogólnie dobry nawyk w każdym rodzaju działalności związanej z kryptowalutami.
