Egy rutinos kriptós drámája: hogyan tűnt el ötvenmillió dollár fél óra alatt
Egy rutinos kriptokereskedő nem utal el egyszerre nagy összeget. Először tesztel. Megnézi, hogy a cím valóban működik-e, hogy a tranzakció megérkezik-e, hogy minden rendben van. A felhasználó, akinek a történetét most részletesen megismerhetjük, pontosan így járt el, amikor kivonta az összeget a tőzsdéről, és saját tárcájába akarta továbbküldeni. Ennek ellenére a vagyona végül csalók kezére jutott.
A próba utalás sikeres volt. A második tranzakció már közel ötvenmillió dollárról szólt. És ekkor derült ki, hogy a cím, amelyre elküldte az összeget, már nem az volt, aminek hitte, hanem egy gondosan felépített csalás része.
Honnan indult a tranzakciós lánc
A történet a gyakorlatban ott kezdődött, ahol a legtöbb nagyobb kriptós utalás: a tőzsdén. A felhasználó kivonta az összeget a Binance-ről, majd saját tárcájába akarta továbbküldeni. A folyamat ismerős lehet sokaknak: cím bemásolása, hálózat ellenőrzése, majd egy kisebb összeg elküldése próbaként. Az 50 USDT gond nélkül megérkezett, ami megerősítette, hogy a cím működik, a tranzakció sikeres.
Ez volt az a pillanat, amikor minden rendben lévőnek tűnt.
A háttérben azonban ekkor már elindult egy automatizált folyamat. A támadó egy olyan scriptet használt, amely kifejezetten az ilyen próba utalásokra vadászik. Amint észlelte a tranzakciót, létrehozott egy új tárcacímet, amely megtévesztésig hasonlított az áldozat eredeti címére. Az első öt és az utolsó négy karakter megegyezett, a különbségek csak a cím közepén jelentek meg – ott, ahol a legtöbb tárcafelület már csak három ponttal jelzi a karaktersort.
Ezt követően a támadó apró összegeket küldött vissza erről a hasonmás címről az áldozat tárcájába. Ezzel gyakorlatilag „megmérgezte” a tranzakciós előzményeket: amikor a felhasználó később a korábbi utalások közül másolta ki a címet a nagyobb összeg elküldéséhez, már nem a saját tárcájának címét, hanem a csaló által generált, hasonló kinézetű címet választotta ki.
Az Etherscan adatai szerint a próba utalás 3:06-kor történt UTC idő szerint. A végzetes tranzakció alig 26 perccel később, 3:32-kor követte. A második utalás összege már közel 50 millió dollár volt, és ekkor vált véglegessé a veszteség.
Miért tűnt el ilyen gyorsan a pénz
A támadó nem vesztegette az időt. A SlowMist elemzése szerint az ellopott USDT-t harminc percen belül átváltotta DAI stabilcoinra a MetaMask Swap segítségével. Ez nem véletlen döntés volt: míg a Tether képes befagyasztani a gyanús USDT-címeket, addig a decentralizált DAI esetében nincs ilyen központi beavatkozási lehetőség.
A DAI-t ezt követően etherre váltotta, összesen körülbelül 16 690 ETH értékben, majd mintegy 16 680 ETH-t továbbított a Tornado Cash keverőszolgáltatáson keresztül, hogy elrejtse a tranzakciók nyomát.
Amikor világossá vált, mi történt, az áldozat még nem adta fel azonnal. Egy onchain üzenetben közvetlenül a támadóhoz fordult, és egymillió dolláros whitehat bounty-t ajánlott fel azért cserébe, hogy az ellopott vagyon 98 százalékát visszakapja. Az üzenet hangvétele már nem volt tárgyalóképesen baráti: jelezte, hogy büntetőeljárást indítottak, és hogy rendvédelmi szervek, kiberbiztonsági ügynökségek, valamint több blokklánc-protokoll is részt vesz az ügy kivizsgálásában. A cél egyértelmű volt: nyomást gyakorolni, mielőtt a pénz végleg eltűnne a keverők és átváltások sűrűjében.
Hogy ez a stratégia mennyire lehet eredményes, arra van már példa. 2024 májusában egy Ethereum-felhasználó 71 millió dollár értékű wrapped bitcoint veszített el egy hasonló address poisoning támadás során. Akkor a The Block beszámolója szerint az onchain tárgyalások – biztonsági cégek és egy kriptotőzsde közvetítésével – végül szinte a teljes összeg visszaszerzéséhez vezettek. A mostani eset azonban több szempontból is nehezebb helyzetet teremt. Az ellopott vagyon ugyanis rendkívül gyorsan a Tornado Cashbe került, ami jelentősen csökkenti annak esélyét, hogy a tranzakciók nyomát vissza lehessen fejteni, vagy hogy a támadó együttműködésre kényszeríthető legyen.
Az address poisoning támadások terjedése nem új jelenség, és nem is elszigetelt eset. Az elmúlt években egyre több olyan kriptós lopásról számoltunk be, ahol nem feltört rendszerek, nem hibás kód, és nem elveszett privát kulcsok vezettek a veszteséghez, hanem a felhasználók viselkedésének apró, de kiszámítható mintái. Ezekben az esetekben a támadók nem a technológiát támadják, hanem a rutint: azt, ahogyan a legtöbben címeket másolnak, tranzakciós előzményeket használnak, és megbíznak abban, hogy ami egyszer már működött, az másodszor is biztonságos lesz.
Erre hívta fel a figyelmet korábban Jameson Lopp, a Casa társalapítója és biztonsági vezetője is, aki szerint az address poisoning támadások kifejezetten a megszokásokra építenek. Egy elemzésében Lopp 2023 óta csak a Bitcoin hálózatán mintegy 48 ezer gyanús esetet azonosított. Véleménye szerint a tárcafejlesztőknek nagyobb felelősségük lenne abban, hogy figyelmeztessék a felhasználókat a hasonló kinézetű címekre, még mielőtt megtörténne a baj.
Az ilyen támadások egyben jól illeszkednek abba a tágabb képbe is, amely szerint 2025 minden eddiginél súlyosabb év a kriptovilág számára lopások szempontjából. A blokkláncelemzéssel foglalkozó Chainalysis adatai szerint az idei évben a kriptós veszteségek már meghaladták a 3,4 milliárd dollárt. A februári, észak-koreai csoportokhoz köthető Bybit-hack önmagában 1,4 milliárd dolláros kárt okozott, és az éves veszteségek közel felét tette ki. Az esetet az Elliptic minden idők legnagyobb kriptolopásaként jellemezte.
Ez a támadás nem a figyelmetlenségre, hanem a rutinra épült
Akárhonnan nézzük, ebben a történetben nem találunk végzetes rossz kattintást, nincs elfelejtett ellenőrzés, és nincs olyan pont sem, ahol könnyű lenne azt mondani: itt rontotta el. A kriptokereskedő mindent úgy csinált, ahogyan azt a legtöbb biztonsági útmutató javasolja. Tesztelt, figyelt, nem kapkodott. A támadás nem a figyelmetlenségére, hanem a rutinjára épült, és éppen ez teszi igazán nyugtalanítóvá az esetet.
Az address poisoning nem új felhasználókat céloz meg, nem a technológiát töri fel, és nem a privát kulcsokat lopja el. Ehelyett azt használja ki, ahogyan a legtöbben dolgoznak a mindennapokban: hogy tranzakciós előzményekből másolnak címeket, hogy megbíznak az ismerős mintákban, és hogy egy sikeres próba utalás után természetesnek veszik a folytatást.
A közel ötvenmillió dolláros veszteség így nem egy kirívó kivétel, hanem egy figyelmeztetés arra, hogy a kriptovilágban a támadások, kriptocsalások már régen túlléptek az egyszerű trükkökön. A csalók nem a rendszereket, hanem a viselkedést tanulmányozzák, és pontosan tudják, hol lehet beavatkozni anélkül, hogy azonnal feltűnne.
Ez a történet ezért nem csak egy lopásról szól. Hanem arról, hogy a biztonság fogalma is változik. Arról, hogy a jó gyakorlat önmagában már nem mindig elég, és hogy a megszokások – bármennyire is logikusak – idővel sebezhetővé válhatnak. Egy rutinos kriptós drámája ez, amely nem hangos, nem látványos, de annál tanulságosabb mindazok számára, akik nap mint nap ugyanazokra a rutinokra támaszkodnak.