Oszustwo z Zatruciem Adresów: Jeden Błąd Kopiuj-Wklej Kosztował Tradera Kryptowalut 50 Milionów Dolarów

Użytkownik kryptowalut stracił prawie 50 milionów dolarów w USDT w wyniku oszustwa polegającego na zatruciu adresu po skopiowaniu fałszywego adresu portfela z historii transakcji, zgodnie z informacją firmy zajmującej się bezpieczeństwem blockchain SlowMist.

Ofiara przelała 49 999 950 USDT na adres kontrolowany przez atakującego, który ściśle naśladował zamierzony cel, z pasującymi trzema pierwszymi i czterema ostatnimi znakami.

Skradzione środki zostały szybko zamienione na ETH, rozproszone w wielu portfelach i częściowo przepuszczone przez mikser Tornado Cash.

Zgodnie ze szczegółami bezpieczeństwa, portfel ofiary był aktywny przez około 2 lata i był wykorzystywany głównie do przelewów USDT, a skompromitowane środki zostały wypłacone z Binance na krótko przed zatruciem przelewem.

Oszustwa kryptowalutowe osiągnęły 90 miliardów dolarów

Incydent miał miejsce w środku szerszego kryzysu bezpieczeństwa ogarniającego branżę kryptowalut, która straciła już prawie 90 miliardów dolarów w wyniku włamań i exploitów od samego początku.

Sam listopad odnotował kradzież ponad 276 milionów dolarów, powiększając straty w 2025 roku do ponad 9,1 miliarda dolarów, co oznacza, że około 10% wszystkich historycznych strat kryptowalutowych miało miejsce w ciągu ostatnich 12 miesięcy.

Mitchell Amador, CEO Immunefi, ostrzegł, że krajobraz zagrożeń fundamentalnie się zmienia.

"Krajobraz zagrożeń zmienia się z luk w kodzie onchain na bezpieczeństwo operacyjne i ataki na poziomie skarbca," powiedział Cryptonews. "Gdy kod się utwardza, atakujący celują w element ludzki."

Pomimo tego, że rok 2025 był najgorszym rokiem pod względem włamań w historii, Amador podkreślił, że straty te wynikają z niepowodzeń operacyjnych, a nie z luk w inteligentnych kontraktach.

"Chociaż rok 2025 był najgorszym rokiem dla włamań w historii, straty te były spowodowane głównie przez awarie tradycyjnej infrastruktury Web2 i załamania bezpieczeństwa operacyjnego, a nie kod onchain," wyjaśnił.

FBI donosi o stracie 9,3 miliarda dolarów w wyniku oszustw inwestycyjnych

Amerykanie stracili około 9,3 miliarda dolarów w wyniku systemów inwestycyjnych w kryptowaluty w 2024 roku, co oznacza wzrost o 66% w porównaniu z poprzednim rokiem, zgodnie z danymi FBI.

Oszustwa typu pig-butchering przyczyniły się do strat przekraczających 9,9 miliarda dolarów na całym świecie, a dane Chainalysis pokazują, że aktywność wzrosła prawie o 40% w 2024 roku.

Senatorowie USA Elissa Slotkin i Jerry Moran wprowadzili ustawę SAFE Crypto Act, która proponuje utworzenie federalnej grupy zadaniowej do koordynowania agencji rządowych, organów ścigania i ekspertów z sektora prywatnego w celu zwalczania oszustw związanych z kryptowalutami.

Ustawodawstwo wymaga od autoryzowanych emitentów stablecoinów utrzymywania możliwości technicznych do zamrażania lub zajmowania aktywów cyfrowych powiązanych z nielegalną działalnością.

Działania egzekucyjne nasiliły się, a władze USA ogłosiły w październiku największe w historii przejęcie kryptowalut, celując w kambodżańską Prince Holding Group.

Tether zamroził również prawie 50 milionów dolarów w USDT powiązanych z siatkami pig-butchering w Azji Południowo-Wschodniej, podczas gdy Binance zapobiegło 7,5 miliona użytkowników przed utratą prawie 10 miliardów dolarów w wyniku oszustw między grudniem 2022 a majem 2025.

Czynnik ludzki staje się głównym wektorem ataku

Poza wyrafinowanymi oszustwami, ataki malware nadal opróżniają portfele, a singapurski przedsiębiorca stracił ponad 100 000 dolarów po pobraniu złośliwego oprogramowania zamaskowanego jako program do testowania gier.

Oddzielne naruszenie portfela wielopodpisowego na początku tego miesiąca spowodowało kradzież około 27,3 miliona dolarów poprzez kompromitację klucza prywatnego, a atakujący wyprali około 12,6 miliona dolarów przez Tornado Cash.

Amador argumentował, że branża musi fundamentalnie zrestrukturyzować swoje podejście do bezpieczeństwa.

"Zabezpieczanie kodu nie wystarczy, jeśli użytkownicy i operatorzy pozostają podatni na ataki," powiedział.

"Firmy Web3 muszą inwestować znacznie więcej w bezpieczeństwo warstwy ludzkiej, a to oznacza szkolenie zespołów, zaostrzenie kontroli operacyjnych i bezpośrednie edukowanie użytkowników, jak rozpoznawać wiadomości oszukańcze, rozpoznawać próby inżynierii społecznej i chronić swoje aktywa onchain."

Zauważył, że 99% projektów Web3 działa bez podstawowych zapór sieciowych, podczas gdy mniej niż 10% wdraża nowoczesne narzędzia bezpieczeństwa oparte na AI.

"Większość włamań w tym roku nie miała miejsca z powodu słabych audytów," wyjaśnił Amador. "Miały miejsce po uruchomieniu, podczas aktualizacji protokołu lub poprzez luki w integracji—martwe punkty, których same audyty nie mogą wykryć."

Pomimo rosnących strat, Amador zachował optymizm w kwestii bezpieczeństwa kodu onchain, przewidując, że 2026 będzie jak dotąd najlepszym rokiem dla bezpieczeństwa inteligentnych kontraktów, ponieważ branża nadal utwardza swoją infrastrukturę techniczną.