Adreses saindēšanās uzbrucējs, kurš, iespējams, piemānīja lietotāju, lai viņam nosūtītu 68 miljonus dolāru vērtu iesaiņotu Bitcoin (WBTC), ir nosūtījis atpakaļ upurim 153 000 $ vērtu ēteru (ETH), izrādot acīmredzamu labticību. Tajā pašā darījumā uzbrucējs nosūtīja ziņojumu, kurā piekrita sarunām un lūdza upurim Telegram lietotājvārdu, kur ar viņu var sazināties. Atpakaļ nosūtītā summa ir tikai 0,225% no kopējiem iespējami nozagtiem līdzekļiem.
Blockchain dati liecina, ka 5. maijā uzbrukuma upuris, kura konts beidzas ar 8fD5, nosūtīja trīs ziņojumus uz kontu, kas beidzas ar dA6D. Ziņojuma saņēmējs bija saņēmis līdzekļus no uzbrucēja konta ar nosaukumu “FakePhishing327990” Etherscan, izmantojot vairākus starpposma kontus. Tas nozīmē, ka dA6D, visticamāk, kontrolēja uzbrucējs.
Ziņojumos tika norādīts, ka upuris ir gatavs atdot uzbrucējam 10% līdzekļu kā atlīdzību un atturēties no kriminālvajāšanas, ja viņš atdos pārējos 90%. Cietušais paziņoja:
"Mēs abi zinām, ka nav iespējams iztīrīt šos līdzekļus. Jums tiks izsekots. Mēs abi arī saprotam, ka frāze “labi izgulies” nebija saistīta ar jūsu morālajām un ētiskajām īpašībām. Tomēr mēs oficiāli administrējam jūsu tiesības uz 10%. Sūtīt 90% atpakaļ. Jums ir 24 stundas pirms 2024. gada 6. maija plkst. 10:00 UTC, lai pieņemtu lēmumu, kas jebkurā gadījumā mainīs jūsu dzīvi.
9. maijā pulksten 11:37 pēc UTC cits konts, kas beidzas ar 72F1, atbildēja, nosūtot cietušajam 51 Ether (ETH) (vērtībā 153 000 USD pēc šodienas cenas). 72F1 bija arī saņēmis līdzekļus no FakePhishing327990, izmantojot vairākus starpposma kontus, norādot, ka tas arī bija uzbrucēja kontrolē.
Darījumā, ar kuru tika nosūtīts 51 ETH, uzbrucējs arī ievietoja ziņojumu, kurā teikts: “Lūdzu, atstājiet savu telegrammu un es sazināsimies ar jums”. Pēc tam viņi mēģināja izlabot savas sliktās pieturzīmes pulksten 11:43, ievietojot papildu ziņojumu, kurā bija teikts: “Lūdzu, atstājiet savu telegrammu, un es ar jums sazināsimies[.]”
Atbildot uz to, cietušais ievietoja Telegram lietotājvārdu, kur ar viņu var sazināties.
Uzrunas saindēšanās upuris vienojas ar uzbrucēju. Avots: Etherscan.
Sarunas notika pēc tam, kad uzbrucējs, iespējams, piemānīja upuri, lai viņa kontā kļūdas dēļ nosūtītu 1155 Wrapped Bitcoin (WBTC) (tajā laikā 68 miljonu dolāru vērtībā), ko viņi izdarīja, veicot “adreses saindēšanas” darījumu.
Blockchain dati liecina, ka 3. maijā pulksten 09:17 uzbrucējs izmantoja viedo līgumu, lai no upura konta uz uzbrucēja kontu pārskaitītu 0,05 marķiera. Pārsūtītajam marķierim nebija nosaukuma, kas norādīts Etherscan, un to vienkārši sauca par “ERC-20”. Normālos apstākļos uzbrucējs nevar pārsūtīt pilnvaru no cita lietotāja bez viņa piekrišanas. Taču šajā gadījumā marķierim bija pielāgots dizains, kas ļāva to pārsūtīt no konta bez lietotāja piekrišanas.
Tajā pašā dienā pulksten 10:31 cietušais uz šo adresi, šķiet, kļūdas dēļ nosūtīja 1155 WBTC. Adrese, iespējams, ir līdzīga adresei, kuru upuris izmantoja, lai noguldītu līdzekļus centralizētajā biržā vai kāda cita iemesla dēļ.
Turklāt cietušais, iespējams, redzēja, ka agrāk uz šo adresi nosūtīja 0,05 marķiera, un tāpēc uzskatīja, ka tā ir droša. Tomēr 0,05 žetonus nosūtīja uzbrucējs, un šķita, ka tie nākuši tikai no upura.
Ja uzbrucējs mēģina mulsināt upurus, izsūtot viņiem surogātpastu ar darījumiem, kas, šķiet, nāk no viņiem, bet patiesībā nāk no uzbrucēja, drošības eksperti to sauc par "adreses saindēšanās uzbrukumu". Speciālisti iesaka lietotājiem rūpīgi pārbaudīt nosūtīšanas adresi darījumā pirms tās apstiprināšanas, lai izvairītos no dārgām kļūdām no šāda veida uzbrukumiem.
Saistīts: Kā izvairīties no nulles vērtības pārsūtīšanas adreses saindēšanās uzbrukumiem