Nemenovaná obeť stratila 2,6 milióna USD v stabilcoine Tether (USDT), a to v priebehu necelých troch hodín. Stala sa totiž obeťou sofistikovaného útoku.
Tento incident upozorňuje na čoraz častejšie sa vyskytujúcu formu kryptopodvodov, ktorá sa spolieha na techniku tzv. nulového prevodu — rafinovaného nástroja na reťazové phishingové útoky priamo na blockchainoch.
Jedna chyba – dve transakcie
Z dát od analytickej platformy Cyvers vyplýva, že obeť poslala najprv 843 000 USD v USDT, pričom o zhruba tri hodiny neskôr nasledoval ďalší prevod vo výške 1,75 milióna USD.
https://twitter.com/CyversAlerts/status/1926915902001254475
V oboch prípadoch išlo o odoslanie prostriedkov na adresu, ktorá sa javila ako dôveryhodná — a práve tu vstupuje do hry sofistikovaná forma podvodu zvaná zero-value transfer.
Ako funguje nulový prevod?
Útočníci využívajú legitímnu funkciu „transfer from“ v smart kontraktoch na tokeny, pričom zrealizujú transakciu s nulovou hodnotou. Výsledkom je, že používateľ neuvidí žiadnu zmenu vo svojom zostatku, no transakcia sa aj tak objaví v histórii jeho peňaženky.
Z psychologického hľadiska to má vážny dopad. Adresa útočníka sa zrazu objaví medzi predchádzajúcimi príjemcami, čo zvyšuje pravdepodobnosť, že ju používateľ v budúcnosti považuje za známu alebo dôveryhodnú.
Ak potom používateľ skopíruje túto adresu napríklad zo svojej histórie alebo ju zamieňa s adresou dôveryhodného príjemcu, peniaze idú priamo útočníkovi.
Vývoj staršieho triku
Zero-value transfer je najnovšou mutáciou známeho útoku známemu ako address poisoning, kedy útočník pošle malú sumu kryptomeny z adresy, ktorá vizuálne pripomína tú skutočnú. Cieľom je zmiasť používateľa, aby omylom skopíroval nesprávnu adresu, čo vedie k strate prostriedkov.
Útočníci často vytvárajú adresy s rovnakým začiatkom a koncom ako originálna, dôveryhodná adresa, čím zneužívajú návyk používateľov kontrolovať len prvé a posledné znaky. V kombinácii s nulovým prevodom ide o mimoriadne účinný trik.
Státisíce pokusov, miliónové škody
Podľa štúdie z januára 2025 bolo medzi 1. júlom 2022 a 30. júnom 2024 zaznamenaných viac než 270 miliónov pokusov o „otravu adries“ na BNB Chain a Ethereum (ETH). Až 6 000 z nich skončilo úspešným podvodom, ktorý spôsobil škody za viac ako 83 miliónov USD.
V snahe čeliť tejto vlne podvodov spojili sily bezpečnostná firma Trugard a protokol Webacy, ktoré predstavili nový AI nástroj na detekciu otrávených adries. Podľa prvotných výsledkov má tento systém úspešnosť až 97%, pričom bol testovaný na známky už zrealizovaných útokov.
Bezpečnosť si vyžaduje nový prístup
Kryptomenový ekosystém sa stáva čoraz sofistikovanejším – rovnako ako tí, ktorí sa ho snažia zneužiť. Ochrana pred útokmi, ako je zero-value phishing, si vyžaduje viac než len technické zabezpečenie: dôležitá je aj informovanosť a opatrnosť pri každom prevode.
Top burzy
