Atacatorul care a otrăvit adresele care ar fi păcălit un utilizator să le trimită Wrapped Bitcoin (WBTC) în valoare de 68 de milioane de dolari a trimis victimei Ether (ETH) în valoare de 153.000 de dolari, într-o aparentă dovadă de bună-credință. În aceeași tranzacție, atacatorul a trimis un mesaj în care este de acord să negocieze și i-a cerut victimei un nume de utilizator Telegram unde să poată fi contactată. Suma trimisă înapoi reprezintă doar 0,225% din totalul fondurilor presupuse furate.

Datele blockchain arată că pe 5 mai, victima atacului, al cărei cont se termină în 8fD5, a trimis trei mesaje către un cont care se termină în dA6D. Destinatarul mesajului primise fonduri din contul atacator, etichetat „FakePhishing327990” pe Etherscan, prin mai multe conturi intermediare. Acest lucru implică faptul că dA6D era probabil să fi fost controlat de atacator.

Mesajele implicau că victima era dispusă să ofere atacatorului 10% din fonduri drept recompensă și să se abțină de la urmărirea penală dacă îi returnează celelalte 90%. Victima a declarat:

„Amândoi știm că nu există nicio modalitate de a curăța aceste fonduri. Vei fi urmărit. Înțelegem, de asemenea, amândoi că expresia „dormi bine” nu era despre calitățile tale morale și etice. Cu toate acestea, vă administrăm oficial dreptul la 10%. Trimite 90% înapoi. Aveți 24 de ore înainte de ora 10:00 UTC, 6 mai 2024, pentru a lua o decizie care vă va schimba viața, în orice caz.”

La 11:37 am UTC pe 9 mai, un alt cont care se termină în 72F1 a răspuns trimițând victimei 51 Ether (ETH) (în valoare de 153.000 USD la prețul de astăzi). 72F1 a primit și fonduri de la FakePhishing327990 prin mai multe conturi intermediare, ceea ce indică că se afla și sub controlul atacatorului.

În tranzacția care a trimis 51 ETH, atacatorul a postat și un mesaj în care spunea „Vă rugăm să lăsați telegrama și vă voi contacta”. Apoi au încercat să-și corecteze punctuația proastă la ora 11:43, postând un mesaj suplimentar care spunea: „Vă rugăm să lăsați telegrama și vă voi contacta[.]”

Ca răspuns, victima a postat un nume de utilizator Telegram unde poate fi contactată.

Adresa victima otrăvirii negociază cu atacatorul. Sursa: Etherscan.

Negocierea a avut loc după ce atacatorul ar fi păcălit victima să trimită 1.155 Wrapped Bitcoin (WBTC) (în valoare de 68 de milioane de dolari la acea vreme) în contul său din greșeală, ceea ce a făcut printr-o tranzacție de „otrăvire a adresei”.

Datele blockchain arată că la ora 09:17 pe 3 mai, atacatorul a folosit un contract inteligent pentru a transfera 0,05 dintr-un token din contul victimei în contul atacatorului. Jetonul transferat nu avea un nume listat pe Etherscan și era pur și simplu denumit „ERC-20”. În circumstanțe normale, un atacator nu poate transfera un token de la alt utilizator fără consimțământul acestuia. Dar, în acest caz, token-ul avea un design personalizat care permitea să fie transferat dintr-un cont fără acordul utilizatorului.

La ora 10:31 în aceeași zi, victima a trimis 1.155 WBTC la această adresă, aparent din greșeală. Adresa poate părea similară cu o adresă folosită de victimă pentru a depune fonduri într-un schimb centralizat sau dintr-un alt motiv.

În plus, este posibil ca victima să fi văzut că a trimis 0,05 dintr-un token la această adresă în trecut și, prin urmare, a presupus că este în siguranță. Cu toate acestea, jetoanele de 0,05 au fost trimise de atacator și păreau să fi venit doar de la victimă.

Când un atacator încearcă să confunde victimele prin spam-ul cu tranzacții care par să provină de la ele, dar de fapt provin de la atacator, experții în securitate îl numesc „atac de otrăvire a adresei”. Experții recomandă utilizatorilor să inspecteze cu atenție adresa de expediere într-o tranzacție înainte de a o confirma, pentru a evita erorile costisitoare din acest tip de atacuri.

Înrudit: Cum să evitați atacurile de otrăvire cu adrese de transfer cu valoare zero