За последние пару месяцев несколько владельцев Tangem Wallet столкнулись со странной ситуацией: в обозревателе сети TRON они заметили транзакции на несколько USDT, которых не совершали. В первом приближении казалось, что эти транзакции были выполнены самим пользователем, а средства были переведены на принадлежащий ему кошелек.
При изучении деталей стало понятно, что адрес, на который была якобы отправлена криптовалюта, другой, просто очень похож на настоящий, да и переводили вовсе не USDT, а какой-то UDST. Разбираемся, в чем смысл этой аферы, откуда берутся транзакции и почему стоит (или не стоит) переживать.
Суть аферы
По большому счету, это фишинговая атака. Только вместо поддельных писем — поддельные транзакции. Цель — пользователи, которые часто переводят криптовалюту на одни и те же кошельки. Люди при этом часто копируют адреса из истории переводов. Поэтому если удастся добавить в нее адрес кошелька мошенника, есть шанс, что невнимательная жертва скопирует именно его и отправит деньги скамеру. Адрес скам-кошелька при этом первыми символами похож на настоящий адрес. Расчет строится на том, что многие пользователи проверяют только первые несколько знаков.
Скамеры могут действовать двумя способами. Первый: незаметно подсунуть в историю транзакций липовую и ждать, когда пользователь ошибется. Второй: сымитировать несколько «настоящих» переводов на похожий кошелек, а затем пропихнуть в обозреватель пачку транзакций на рандомные адреса, создавая впечатление, что кошелек скомпрометирован. В панике жертва может по ошибке скопировать «свой» адрес из «настоящей» транзакции и вывести все активы на него, думая, что переводит средства себе.
Как транзакция попадает в обозреватель
Все дело в особенностях стандартов сетей, совместимых с виртуальной машиной Ethereum (EVM), а именно — в том, как именно создается история транзакций и как ее считывают обозреватели блокчейна.
При переводе средств в сети создается событие (event), которое и отображается в обозревателе. Это событие создается даже в том случае, когда стоимость пересылаемых активов равна нулю. А раз ничего не переводится, то не нужно давать согласие смарт-контракту на отправку со своего счета этого самого ничего (как если бы к вам зашел друг и, не застав никого дома, оставил записку: «Я взял у тебя 20 ничего. Петя»).
Теперь, когда понятно, как транзакции попадают в обозреватель, разберемся, как именно действуют злоумышленники. Для начала они создают скам-токен с нулевой стоимостью и дают ему название, похожее на название настоящего. Например, UDST:
Затем они отслеживают сеть и выявляют пользователей, регулярно переводящих криптовалюту на одни и те же адреса. Когда жертва выбрана, скамер создает криптокошелек, первые и последние символы адреса которого идентичны адресу, на который пользователь часто переводит деньги.
После этого вредоносный смарт-контракт инициирует событие перевода 10 UDST c адреса пользователя на кошелек скамера, и «транзакция» появляется в обозревателе жертвы. Иногда такой перевод создают сразу после того, как пользователь отправляет настоящие USDT, чтобы в истории переводов транзакции стояли рядом.
Есть ли похожие схемы?
Описанная здесь атака — эволюция скама TransferFrom Zero Transfer, пик которого пришелся на 2022 год. В ней скамеры использовали тот же «изъян» в логике работы сети, но механика была другой. Тогда они не прибегали к созданию фейковых токенов, а просто пользовались функцией TransferFrom, которая нужна для работы со смарт-контрактами и служит для автоматического перевода средств.
Злоумышленники просто инициировали отправку 0 токенов с кошелька жертвы на свой кошелек. В итоге в списке транзакций оказывался перевод на 0 тех же USDT. В отличие от описываемого скама, TransferFrom Zero Transfer была дешевле, не требовала оплачивать комиссию сети, создавать скам-токены и смарт-контракты. Но при этом заметить нулевой перевод в общем списке гораздо проще. Это, впрочем, не значит, что схема не работала: вот история пользователя Bitcoin Forum, который потерял $100 000, скопировав адрес кошелька из транзакции на 0 BNB.
Варианты исполнения
Отправка крипты на кошелек мошенников может быть не единственной целью скамеров. Легко представить вариант многоэтапной атаки, нацеленной на сид-фразу: пользователя сначала бомбардируют фейковыми переводами, а затем от лица разработчиков криптокошелька или DEX сообщают по электронной почте (полученной, например, в результате утечки) о взломе. Чтобы защитить активы, жертве нужно перейти по ссылке и ввести в форму сид-фразу.
Более сложный вариант — переправить пользователя на поддельный сайт с помощью DNS-спуфинга или MITM-атаки, после того как он в панике бросится на сайт криптокошелька делать «хоть что-нибудь».
Как не попасться
Как и в случае с фишингом, защититься от таких атак можно с помощью пары простых правил.
Во-первых, всегда проверяйте адрес полностью. Если регулярно переводите крипту на одни и те же кошельки, сохраните адреса в менеджере паролей и каждый раз копируйте их оттуда.
Во-вторых, если заметили исходящие переводы, которые вы не совершали, — не паникуйте, не переходите по ссылкам из писем. Сначала внимательно изучите детали транзакции и уже потом предпринимайте какие-либо действия. Паника — худший помощник.
Ну, а если вы используете Tangem Wallet, то просто расслабьтесь: без вашей карты, которая хранит приватный ключ (и никуда его не передает), с вашими активами ничего сделать не получится.