Помилка Copy-Paste ціною в $12,4 млн. Розбираємо механіку атаки

Користувач втратив 4 556 ETH ($12,4 млн), намагаючись відправити кошти на депозит Galaxy Digital. Замість цього він надіслав їх на «отруєну» адресу хакера.

Як це працює (Address Poisoning):

Генерація адреси: Шахраї використовують софт, який генерує адреси, візуально схожі на адреси жертви або популярних сервісів (збігаються перші та останні 4-6 символів).

Засмічення історії: Хакер відправляє на гаманець жертви транзакцію з нульовою сумою (або «пил») з цієї підробленої адреси.

Пастка: Жертва заходить в історію транзакцій, щоб скопіювати адресу для переказу. Бачить знайомі символи на початку та в кінці, копіює «останню активну» адресу і відправляє кошти.

Психологія помилки: Мозок зазвичай сканує лише початок і кінець рядка (наприклад, 0x123...ABCD). Хакери знають це і підробляють саме ці частини. Середина адреси при цьому повністю відрізняється.

⚠️ Як захиститися:

Жодної «Історії»: Ніколи не копіюйте адреси з історії вхідних транзакцій в експлорерах або гаманці.

Whitelist: Використовуйте адресну книгу («Білий список») для частих контрагентів.

Повна перевірка: Якщо копіюєте адресу вручну — перевіряйте не тільки «хвости», а й кілька символів у середині рядка.
Тестова транзакція: При переказах великих сум спочатку відправляйте мінімум, переконайтеся в отриманні, і тільки потім надсилайте решту.

📌 Збережи цей пост у «Вибране», щоб не забути правила безпеки. І перешли другу — краще вчитися на чужих помилках за $12 млн, ніж на власних.