Взлом на сумму 20 миллионов долларов США: хакер использует уязвимость для перевода нулевой суммы

Служба безопасности блокчейна PeckShieldAlert раскрыла недавний инцидент, в ходе которого мошеннику удалось украсть колоссальные 20 миллионов долларов США у ничего не подозревающей жертвы с помощью атаки с нулевым переводом.
Криптовалютное сообщество быстро отреагировало: Tether активно заморозил украденные активы, занеся адреса мошенников в черный список всего за один час после инцидента.
Жертва, идентифицированная как 0x407e, ранее получила 10 миллионов долларов США от Binance (BNB) и впоследствии попыталась перевести монеты на предполагаемый альтернативный адрес.
Именно во время этой передачи мошенник осуществил перевод токена нулевой стоимости с адреса жертвы на собственный фишинговый адрес.
Сложная схема мошенничества с переводом нулевой стоимости включает в себя манипулирование пользователями для выполнения транзакции стоимостью 0 долларов США на фишинговый адрес, который поразительно похож на адрес предполагаемого получателя.
Мошенники часто используют распространенную практику, когда пользователи просматривают только начало и конец адреса кошелька, не обращая внимания на среднюю часть.
Создавая фишинговый адрес, который точно имитирует исходный, мошенники обманывают пользователей, заставляя их поверить, что они отправляют средства на правильный адрес.
Поскольку переводы с нулевой стоимостью не требуют каких-либо реальных средств, для их выполнения не требуется закрытый ключ жертвы. Хотя этот первоначальный перевод не приводит к прямой потере средств, он создает основу для будущих обманов.
Пользователи, которые полагаются на историю транзакций для проверки адресов, могут стать жертвами атак такого типа, поскольку в будущем они могут неосознанно отправить реальные средства на фишинговый адрес.
В рассматриваемом случае тактика мошенника по переводу нулевой стоимости привела к тому, что жертва по ошибке отправила 0 долларов США на фишинговый адрес.
Впоследствии, когда жертва инициировала законную транзакцию, она была обманом вынуждена использовать фишинговый адрес, что привело к потере значительной суммы криптовалюты.
Примечательным аспектом этого инцидента стала быстрая реакция Tether. Быстрые действия компании по внесению адресов мошенников в черный список в течение часа после атаки демонстрируют приверженность отрасли борьбе с такими угрозами.