Зловмисник з отруєнням адреси, який нібито обманом змусив користувача надіслати йому Wrapped Bitcoin (WBTC) на суму 68 мільйонів доларів США, повернув жертві ефір (ETH) на суму 153 000 доларів США, демонструючи очевидну добросовісність. У тій же транзакції зловмисник надіслав повідомлення, погодившись на переговори, і попросив у жертви ім’я користувача Telegram, за яким з ним можна зв’язатися. Повернена сума становить лише 0,225% від загальної суми ймовірно вкрадених коштів.
Дані Blockchain показують, що 5 травня жертва атаки, обліковий запис якої закінчується на 8fD5, надіслала три повідомлення на обліковий запис, який закінчується на dA6D. Одержувач повідомлення отримав кошти з атакуючого облікового запису з позначкою «FakePhishing327990» на Etherscan через кілька проміжних рахунків. Це означає, що dA6D, ймовірно, перебував під контролем зловмисника.
У повідомленнях випливало, що жертва готова віддати нападнику 10% коштів як винагороду та утриматися від судового переслідування, якщо вони повернуть інші 90%. Потерпілий заявив:
«Ми обидва знаємо, що немає способу очистити ці кошти. Вас розшукають. Ми також розуміємо, що фраза «спати добре» не стосується ваших моральних і етичних якостей. Тим не менш, ми офіційно закріплюємо ваше право на 10%. Відправити 90% назад. У вас є 24 години до 10:00 UTC 6 травня 2024 року, щоб прийняти рішення, яке в будь-якому випадку змінить ваше життя».
Об 11:37 ранку UTC 9 травня інший обліковий запис, який закінчується на 72F1, відповів, надіславши жертві 51 ефір (ETH) (вартістю 153 000 доларів США за сьогоднішньою ціною).72F1 також отримував кошти від FakePhishing327990 через кілька проміжних рахунків, що вказує на те, що він також перебував під контролем зловмисника.
Під час транзакції, під час якої було надіслано 51 ETH, зловмисник також опублікував повідомлення «Будь ласка, залиште свою телеграму, і я з вами зв’яжусь». Потім об 11:43 ранку вони спробували виправити неправильну пунктуацію, опублікувавши додаткове повідомлення, у якому говорилося: «Будь ласка, залиште свою телеграму, і я зв’яжуся з вами [.]».
У відповідь жертва опублікувала логін у Telegram, за яким з нею можна зв’язатися.
Переговори відбулися після того, як зловмисник нібито обманом змусив жертву помилково надіслати 1155 Wrapped Bitcoin (WBTC) (вартістю 68 мільйонів доларів на той час) на їхній рахунок, що вони зробили через транзакцію «отруєння адреси».
Дані Blockchain показують, що о 09:17 ранку 3 травня зловмисник використав смарт-контракт для переказу 0,05 токена з облікового запису жертви на обліковий запис зловмисника. Переданий токен не мав назви в Etherscan і називався просто «ERC-20». За звичайних обставин зловмисник не може передати токен від іншого користувача без його згоди. Але в цьому випадку токен мав індивідуальний дизайн, який дозволяв передавати його з облікового запису без згоди користувача.
О 10:31 ранку того ж дня жертва відправила 1155 WBTC на цю адресу, ймовірно, помилково. Адреса могла виглядати схожою на адресу, яку жертва використовувала для внесення коштів на централізований обмінник, або з іншої причини.
Крім того, жертва могла бачити, що вона надіслала 0,05 токена на цю адресу в минулому, і тому припустила, що це безпечно. Однак токени 0,05 були надіслані зловмисником і, здається, надійшли лише від жертви.
Коли зловмисник намагається ввести жертву в оману, надсилаючи їй спам із транзакціями, які нібито надходять від неї, але насправді надходять від зловмисника, експерти з безпеки називають це «атакою з отруєнням адреси». Експерти рекомендують користувачам уважно перевіряти адресу відправника в транзакції, перш ніж підтверджувати її, щоб уникнути дорогих помилок від таких атак.
Пов’язане: як уникнути атак з отруєнням адреси передачі нульового значення
