Oszustwa związane z zerowym transferem stają się coraz bardziej widoczne w ekosystemie kryptowalut, a w 2023 r. skradziono ponad 40 milionów dolarów.
Oszustowi stosującemu atak phishingowy z zerowym transferem udało się 1 sierpnia ukraść Tether USDT o wartości 20 milionów dolarów, zanim został wpisany na czarną listę przez emitenta monety stablecoin, Tether.
Według aktualizacji firmy PeckShield zajmującej się analizą łańcucha dostaw, oszust z zerowym transferem pobrał 20 milionów USDT z adresu ofiary 0x4071...9Cbc. Zamierzony adres, na który ofiara planowała wysłać pieniądze, to 0xa7B4BAC8f0f9692e56750aEFB5f6cB5516E90570; jednak zamiast tego został wysłany na adres phishingowy: 0xa7Bf48749D2E4aA29e3209879956b9bAa9E90570.
Na adres portfela ofiary najpierw wpłynęło 10 milionów dolarów z konta Binance. Następnie ofiara wysłała go na inny adres, zanim wkroczył oszust. Następnie oszust wysłał fałszywy przelew tokena Zero USDT z konta ofiary na adres phishingowy. Kilka godzin później ofiara wysłała oszustowi 20 milionów USDT, myśląc, że przesyła je na wybrany adres.
Portfel został natychmiast zamrożony przez emitenta USDT Tether, który zdziwił się szybkim charakterem akcji.
Użytkownicy zazwyczaj sprawdzają pierwsze lub pięć ostatnich cyfr adresu portfela, a nie cały adres, co prowadzi do wysyłania zasobów na adres phishingowy. Ofiara zostaje oszukana i wysyła transakcję za zero tokenów ze swojego portfela na adres przypominający ten, na który już wcześniej wysyłała tokeny.
Na przykład, jeśli ofiara wysłała 100 monet na adres w celu wpłaty na wymianę, atakujący może wysłać 0 monet z portfela ofiary na adres, który wygląda podobnie, ale jest kontrolowany przez atakującego. Przeglądając tę transakcję w swojej historii transakcji, ofiara może założyć, że wyświetlany adres jest właściwym adresem wpłaty i wysłać swoje monety na adres phishingowy.
W ciągu ostatniego roku oszustwa typu phishing zerowego transferu stały się dość popularne w ekosystemie kryptowalut, a wiele przypadków wyszło na jaw. Jeden z pierwszych przypadków oszustwa związanego z transferem zerowym miał miejsce w grudniu 2022 r. i od tego czasu takie ataki spowodowały straty rzędu ponad 40 mln dolarów.