Un detentore di criptovalute senza nome ha recentemente perso più di $3 milioni in token PYTH dopo averli trasferiti erroneamente al portafoglio di un truffatore.
L'errore è avvenuto quando la vittima, facendo affidamento sulla propria cronologia delle transazioni, ha copiato e utilizzato un indirizzo di deposito falso.
Il Alto Costo di un Piccolo Errore
Secondo un post del 25 novembre degli analisti blockchain Lookonchain, un truffatore sconosciuto ha creato un indirizzo i cui primi quattro caratteri corrispondevano esattamente a quelli del portafoglio di deposito della vittima. Hanno quindi inviato alla vittima 0.000001 SOL, del valore di circa $0.00025, il che ha fatto apparire il conto falso nella loro cronologia delle transazioni.
Senza prestare la dovuta attenzione, l'individuo colpito ha copiato direttamente l'indirizzo contraffatto dalla cronologia delle transazioni, poiché i primi quattro caratteri corrispondevano. Hanno quindi inviato 7 milioni di token PYTH del valore di circa $3.08 milioni al criminale senza controllare il proprio identificatore unico.
Gli esperti di sicurezza si riferiscono a questi attacchi come "avvelenamento dell'indirizzo". Sfruttano un'abitudine comune tra gli utenti di criptovaluta: fare affidamento sulle cronologie delle transazioni per copiare gli identificatori unici del portafoglio invece di recuperarli da fonti ufficiali o contatti fidati. Anche se può sembrare conveniente, questa pratica è spesso rischiosa.
La piattaforma anti-truffa Scam Sniffer ha recentemente evidenziato un altro caso in cui un utente ha presumibilmente perso $129 milioni dopo aver copiato l'indirizzo sbagliato dalla propria cronologia di trasferimento. In quel caso, l'account ingannevole aveva gli stessi ultimi sei caratteri di quello corretto.
In molti portafogli, di solito vengono visualizzati solo i primi sei e gli ultimi sei caratteri di un indirizzo, il che significa che potrebbe essere necessario uno sguardo più attento per confermarne la veridicità. Fortunatamente per quell'individuo o entità, il truffatore ha restituito i fondi rubati entro un'ora.
A maggio, un utente di Ethereum ha perso 1.155 Bitcoin avvolti (wBTC) del valore di $68 milioni, mentre diversi proprietari di Safe Wallet hanno subito il furto di $2 milioni utilizzando lo stesso trucco a dicembre dello scorso anno.
Comprendere l'Avvelenamento dell'Indirizzo
Gli attori malevoli utilizzano comunemente due metodi per eseguire l'avvelenamento dell'indirizzo: trasferimenti a valore zero e token falsi. Nei trasferimenti a valore zero, il truffatore utilizza contratti di token reali ma effettua transazioni a valore molto basso per mostrare un'attività fuorviante nella cronologia delle transazioni on-chain di una potenziale vittima.
Al contrario, il metodo del token falso implica la creazione di contratti di token fasulli per imitare token reali come USDT o USDC. I truffatori poi cercano transazioni di token genuine e, quando ne vedono una, trasferiscono i loro token falsi all'indirizzo da cui è originata la transazione. Questo dà all'utente l'impressione di aver inviato fondi a un certo conto quando, in realtà, non è così.
L'utente potrebbe quindi confondere il trasferimento di token contraffatti con quello reale che ha effettuato quando guarda la cronologia del proprio portafoglio o utilizza un esploratore blockchain. Quando desidera ripetere una transazione, potrebbe inviare denaro al portafoglio del truffatore copiando e incollando involontariamente l'indirizzo fasullo.
Il post "Un trasferimento crypto imprudente costa all'investitore $3.08M: Dettagli" è apparso per primo su CryptoPotato.
