26 мая 2025 года один из криптоинвесторов стал жертвой серии фишинговых атак в сети. Криптовалютная компания Cyvers объявила, что жертва потеряла криптовалюты на общую сумму 2,6 миллиона долларов.
Все началось с того, что пользователь отправил 843 000 Tether USDt на адрес, отличный от предполагаемого получателя. Всего три часа спустя пользователь отправил еще 1,75 миллиона USDT на тот же адрес. Результат: Все деньги были потеряны за несколько часов.
Перевод нулевой стоимости - это обманный метод мошенничества, который использует замешательство пользователей и может быть осуществлен без необходимости доступа к приватному ключу.
Адреса криптокошельков состоят из буквенно-цифровых символов. Хотя для каждого блокчейна количество символов различно, оно никогда не бывает меньше 26. В случае с USDT он варьируется от 34 до 42.
Работа с длинными, случайно набранными символами - это запутанная и рискованная задача, которая может привести к серьезным потерям в случае ошибки, поскольку криптовалютные транзакции не могут быть отменены из-за неизменной природы блокчейна. Поэтому при отправке криптовалют пользователи обычно прибегают к копированию адресов кошельков.
В мошенничествах с переводом нулевой стоимости злоумышленники используют именно эту практику. Они ищут целевой кошелек и определяют адреса, с которыми он взаимодействовал. Затем мошенники создают тщеславный адрес, который имеет те же начальные и последние символы, что и адрес, с которым происходило взаимодействие, и отправляют транзакцию, не содержащую никакой ценности.
Идея заключается в том, чтобы поместить фальшивый адрес в историю транзакций целевого кошелька. Использование итель, желающий снова отправить криптовалюту на знакомый адрес, может пролистать прошлые транзакции и случайно скопировать фальшивый адрес мошенника. В результате пользователь неосознанно отправляет транзакцию мошеннику, не имея возможности вернуть потерянные криптовалюты.
Эксплойт для передачи нулевого токена - это лишь одна из тактик отравления адресов, объединяющая мошенничества, которые основаны на обмане и не требуют от злоумышленников контроля над начальными фразами или приватными ключами.
Современный ландшафт криптоадресов напоминает эпоху интернета до появления системы доменных имен (DNS). До появления DNS пользователям приходилось вводить цифровые IP-адреса, чтобы получить доступ к веб-сайтам. Существуют некоторые блокчейн-решения, которые работают аналогично DNS и делают адреса кошельков человекочитаемыми, например Ethereum Name System (ENS).
Имитация легитимных адресов - широко распространенный метод отравления адресов, который также может осуществляться путем отправки минимального количества криптовалюты на целевой адрес для завоевания доверия.
Отравление адресов в 2025 году уже обошлось инвесторам в миллионы. В феврале потери составили 1,8 миллиона долларов, а в марте из-за этого метода криптомошенничества было потеряно 1,2 миллиона долларов. В мае один инцидент превзошел показатели двух вышеупомянутых месяцев, принеся убытки в размере 2,6 миллиона долларов.
Атаки наносят серьезный ущерб таким крупным блокчейнам, как Ethereum и BNB Chain. В период с 2022 по 2024 год на Ethereum было отравлено около 17 миллионов адресов, из которых 7,2 миллиона составили атаки с нулевой передачей. Из них 1 738 попыток стали успешными и привели к потере пользователями почти 80 миллионов долларов.
За тот же период на BNB Chain было совершено около 230 миллионов попыток отравления адресов. В результате 4895 успешных атак пользователи блокчейна понесли убытки на общую сумму 4,5 миллиона долларов.
Конечно, самая очевидная мера безопасности - сделать перепроверку привычкой. Всегда перепроверяйте адрес кошелька получателя полностью, прежде чем подписывать транзакцию.