Wieloryb stracił miliony USD na Ethereum! Popełnił ten prosty błąd
Kryptowaluty

Wieloryb stracił miliony USD na Ethereum! Popełnił ten prosty błąd

Przez Patryk Chodyniecki

Użytkownik Ethereum stracił 4 556 ETH o wartości około 12,4 miliona dolarów po wysłaniu środków na fałszywy adres, który podszywał się pod portfel depozytowy Galaxy Digital. Incydent to klasyczny przykład ataku typu address poisoning, który zyskuje na popularności wraz z rosnącą aktywnością on-chain.

Jak doszło do kradzieży 4 556 Ethereum

Portfel ofiary (0xd674…) regularnie wysyłał środki na ten sam adres depozytowy Galaxy Digital – wzorzec transakcji był więc łatwo widoczny w eksploratorach blockchain. Atakujący stworzył bardzo podobny adres, różniący się jedynie środkowymi znakami, ale zaczynający i kończący się dokładnie tak samo jak oryginalny.

Następnie wysłał na portfel ofiary kilka małych transakcji, które pojawiły się w historii transakcji. Gdy użytkownik chciał ponownie wpłacić ETH, skopiował adres bezpośrednio z historii – niestety wybrał fałszywkę. Transakcja została potwierdzona w sieci około 11 godzin przed wykryciem straty. W następstwie tego 4 556 ETH trafiło nieodwracalnie do portfela napastnika. Cała operacja nie wymagała hakowania protokołu Ethereum ani ataku na Galaxy Digital – to czysta manipulacja zachowaniem użytkownika.

Dlaczego address poisoning tak łatwo działa

Adresy Ethereum składają się z 42 znaków – większość osób sprawdza tylko pierwsze i ostatnie 4–6 znaków. Atakujący celowo tworzą adresy spełniające tę regułę, licząc na pośpiech i nawyk kopiowania z historii. Dust-transakcje od nieznanych nadawców wyglądają niewinnie i mieszają się z prawdziwymi wpisami. W połączeniu z rutynowym działaniem („skopiuję adres z poprzedniej wpłaty, żeby nie wpisywać ręcznie”) tworzy to idealne warunki do błędu. Eksperci podkreślają, że nawet najbezpieczniejsze portfele sprzętowe nie ochronią przed własną nieuwagą.

Jak chronić się przed atakiem

Generalnie wystarczy zastosować się do poniższych zasad:

  • Nigdy nie kopiuj adresu z historii transakcji – zawsze weryfikuj pełny ciąg znaków.
  • Dodawaj zaufane adresy do książki adresowej w portfelu lub bookmarkuj je.
  • Używaj ENS (Ethereum Name Service) zamiast surowych adresów.
  • Sprawdzaj, czy nadawca dust-transakcji jest znany i wiarygodny.
  • W razie wątpliwości – wpisz adres ręcznie lub zeskanuj QR z oficjalnego źródła.

Incydent z dzisiaj pokazuje, że największym zagrożeniem w krypto nie zawsze jest kod – często jest nim ludzki nawyk. Ethereum działa dokładnie tak, jak zostało zaprogramowane – transakcje są nieodwracalne, a błędy użytkownika stają się kosztami bez możliwości chargebacku.

Dziękujemy, że przeczytałeś/aś nasz artykuł do końca. Obserwuj nas w Wiadomościach Google i bądź na bieżąco!
Kryptowaluty bezpiecznie kupisz lub sprzedasz w sieci kantorów i bitomatów FlyingAtom
Sprawdź!
Patryk Chodyniecki

Absolwent Uniwersytetu Opolskiego, Wydziału Prawa. Od ponad 12 lat praktykujący prawnik, specjalizujący się w sprawach gospodarczych oraz procedurze cywilnej. Łączy doświadczenie zawodowe z pasją do nowych technologii, w szczególności blockchaina oraz rynków cyfrowych. Od ponad ośmiu lat obecny w polskich mediach branżowych, gdzie współpracował m.in. z serwisami Cryps, Rankomat oraz Kryptowaluty.pl. Doświadczenie copywriterskie zdobywał również w obszarze tematyki geopolitycznej i gospodarczej. Skupia się na tłumaczeniu złożonych zagadnień prawnych, technologicznych i ekonomicznych w sposób prosty, zrozumiały i użyteczny dla odbiorcy.