Osoba atakująca zatruwająca adres, która rzekomo oszukała użytkownika, aby wysłał mu Wrapped Bitcoin (WBTC) o wartości 68 milionów dolarów, wysłał ofierze Ether (ETH) o wartości 153 000 dolarów, najwyraźniej wykazując dobrą wiarę. W tej samej transakcji osoba atakująca wysłała wiadomość, w której zgodziła się na negocjacje i poprosiła ofiarę o podanie nazwy użytkownika na Telegramie, pod którą można się z nią skontaktować. Odesłana kwota stanowi zaledwie 0,225% całkowitej kwoty rzekomo skradzionych środków.
Z danych Blockchain wynika, że 5 maja ofiara ataku, której konto kończy się na 8fD5, wysłała trzy wiadomości na konto kończące się na dA6D. Odbiorca wiadomości otrzymał środki z konta atakującego, oznaczonego w serwisie Etherscan jako „FakePhishing327990”, za pośrednictwem kilku kont pośrednich. Oznacza to, że dA6D prawdopodobnie był kontrolowany przez atakującego.
Wiadomości sugerowały, że ofiara była gotowa dać napastnikowi 10% środków w ramach nagrody i powstrzymać się od ścigania, jeśli ten zwróci pozostałe 90%. Ofiara stwierdziła:
„Oboje wiemy, że nie ma sposobu, aby oczyścić te fundusze. Będziesz śledzony. Oboje rozumiemy również, że stwierdzenie „śpij dobrze” nie dotyczyło twoich cech moralnych i etycznych. Niemniej jednak oficjalnie przyznajemy Ci prawo do 10%. Wyślij 90% z powrotem. Masz 24 godziny do godziny 10:00 czasu UTC, 6 maja 2024 r., na podjęcie decyzji, która w każdym razie odmieni Twoje życie.
9 maja o godzinie 11:37 czasu UTC inne konto kończące się na 72F1 odpowiedziało, wysyłając ofierze 51 Etherów (ETH) (o wartości 153 000 dolarów według dzisiejszej ceny). 72F1 otrzymał również środki od FakePhishing327990 za pośrednictwem kilku kont pośrednich, co wskazuje, że również znajdował się pod kontrolą atakującego.
W transakcji, w wyniku której wysłano 51 ETH, osoba atakująca zamieściła również wiadomość o treści „Proszęzostaw swój telegram i skontaktuję się z tobą”. Następnie o godzinie 11:43 próbowali poprawić swoją złą interpunkcję, zamieszczając dodatkową wiadomość o następującej treści: „Proszę zostawić telegram, a skontaktuję się z Państwem [.]”.
W odpowiedzi ofiara zamieściła nazwę użytkownika na Telegramie, pod którą można się z nią skontaktować.
Adres ofiary zatrucia negocjuje z napastnikiem. źródło: Etherscan.
Negocjacje miały miejsce po tym, jak napastnik rzekomo oszukał ofiarę, aby przez pomyłkę wysłała na jej konto 1155 Wrapped Bitcoin (WBTC) (o wartości wówczas 68 milionów dolarów), co uczyniła w drodze transakcji „zatruwania adresu”.
Z danych Blockchain wynika, że 3 maja o godzinie 09:17 osoba atakująca za pomocą inteligentnej umowy przeniosła 0,05 tokena z konta ofiary na konto atakującego. Przeniesiony token nie miał nazwy wymienionej w Etherscan i był po prostu określany jako „ERC-20”. W normalnych okolicznościach osoba atakująca nie może przenieść tokena od innego użytkownika bez jego zgody. Jednak w tym przypadku token miał niestandardową konstrukcję, która umożliwiała przeniesienie go z konta bez zgody użytkownika.
Tego samego dnia o godzinie 10:31 ofiara, najwyraźniej przez pomyłkę, wysłała na ten adres 1155 WBTC. Adres mógł wyglądać podobnie do adresu używanego przez ofiarę do wpłacania środków na scentralizowaną giełdę lub z innego powodu.
Ponadto ofiara mogła widzieć, że w przeszłości wysłała 0,05 tokena na ten adres i dlatego założyła, że jest on bezpieczny. Jednak tokeny 0,05 zostały wysłane przez atakującego i sprawiały wrażenie, że pochodziły jedynie od ofiary.
Kiedy osoba atakująca próbuje zmylić ofiary, spamując je transakcjami, które pozornie pochodzą od nich, ale w rzeczywistości pochodzą od atakującego, eksperci ds. bezpieczeństwa nazywają to „atakiem zatruwania adresu”. Eksperci zalecają, aby użytkownicy dokładnie sprawdzali adres nadawcy w transakcji przed jej potwierdzeniem, aby uniknąć kosztownych błędów wynikających z tego rodzaju ataków.
Powiązane: Jak uniknąć ataków polegających na zatruwaniu adresów o zerowej wartości
