Másodpercek alatt közel 4,5 milliárd forintot bukott egy Ethereum-befektető
Újabb figyelmeztető eset történt a kriptovilágban, egy Ethereum-bálna 4 556 ETH-t
ETH Price
, azaz mintegy 4,5 milliárd forintot bukott el egy látszólag ártatlan Ctrl+C, Ctrl+V hiba következtében.
Mi történt pontosan?
A Lookonchain blokklánc‑elemző cég beszámolója szerint az áldozat nem egyszerű elírás miatt vesztette el a pénzét. Egy kifinomult, úgynevezett „address poisoning”, azaz címmérgezéses csalás áldozatává vált.
A módszer lényege, hogy a támadó olyan Ethereum‑címet hoz létre, amely ránézésre szinte megegyezik egy legitim cím rövidített változatával. Ebben az esetben a hamis cím első és utolsó négy karaktere azonos volt a Galaxy Digital valódi befizetési címével.
A csaló ezután egy jelentéktelen mennyiségű kriptót küldött az áldozat tárcájába. Ennek egyetlen célja volt: a hamis cím megjelenjen a tranzakciótörténetben. Amikor később az áldozat egy nagyobb összeget akart utalni, a gyorsaság kedvéért nem az eredeti forrásból másolta ki a címet, hanem a korábbi tranzakciók közül választott. A rövidített formában a két cím gyakorlatilag megkülönböztethetetlen volt, a teljes cím azonban már a támadó tárcájára mutatott.
Ennek az lett az eredmény, hogy a 4 556 ETH végleg a csalónál landolt.
Egyre gyakoribb támadási forma
Az eset sajnos egyre gyakoribb. Az address poisoning támadások száma jelentősen megnőtt, különösen a 2024-ben bevezetett Dencun frissítés óta. A fejlesztés ugyan csökkentette az Ethereum tranzakciós költségeit, de ezzel együtt a csalók számára is olcsóbbá tette a tömeges, automatizált támadásokat.
Korábban már volt példa ennél is nagyobb veszteségre is, 2025 decemberében egy felhasználó mintegy 50 millió dollárnyi USDT‑t utalt el hasonló módon egy hamis címre. Ebben az esetben az áldozat először egy kisebb, 50 dolláros teszttranzakciót hajtott végre, majd a sikeres próbautalás után – hamis biztonságérzettel – a teljes összeget is elküldte, immár a megtévesztő címre.
Miért működik ez a trükk?
Elsőre nehéz elképzelni, hogy valaki bedőljön egy ilyen csalásnak, hiszen az Ethereum‑címek hosszúak és egyediek. A gyakorlatban azonban a legtöbb tárca csak az első és az utolsó néhány karaktert jeleníti meg, és sok felhasználó kizárólag ezek alapján ellenőrzi a címet.
A támadók számára a matematika is kedvez. Ha több ezer hamis címet szórnak szét minimális költséggel, már az is bőven elég a nyereséghez, ha a célpontok töredéke hibázik. Ehhez társul még az emberi tényező is, nagy összegek mozgatásakor is sokan csak a megszokásra és a gyorsaságra hagyatkoznak, és nem ellenőrzik azokat kellő odafigyeléssel.
Mit tehetünk ellene?
Az address poisoning elleni védekezés elsősorban nem technológiai, hanem tudatossági kérdés. A legfontosabb szabály, hogy soha ne a tranzakciótörténetből másoljuk ki a címet, még akkor sem, ha az korábban bevált módszerünk volt. Érdemes minden utalás előtt az eredeti forrásból kimásolni újra a címet, és ezután is inkább ellenőrizni azt.
Sok tárca kínál címjegyzék‑funkciót, amely lehetővé teszi megbízható címek elmentését. Ez pedig jelentősen csökkenti a hibázás esélyét. Emellett az ENS‑domainek használata is növeli a biztonságot, mivel egy könnyen felismerhető név, például egy vállalat hivatalos .eth címe kevésbé téveszthető össze egy véletlenszerű karakterlánccal.
Nagyobb összegek esetén a szakértők azt is javasolják, hogy ne egyetlen tranzakcióban történjen az utalás. Több kisebb részletben elküldve egy esetleges hiba nem jár azonnal hatalmas veszteséggel.
Nincs visszaút
Az address poisoning mára az Ethereum‑ökoszisztéma egyik kellemetlen mellékhatásává vált. Az on‑chain adatok szerint naponta milliós nagyságrendben jelennek meg ilyen jellegű próbálkozások. A biztonsági alapelvek betartása elengedhetetlen. A blokkláncon nincs visszavonás gomb. Egyetlen rossz kimásolás akár több millió dollárba is kerülhet, miközben a támadó már a következő áldozat tranzakciótörténetében készül megjelenni.