Wang Chun, pengasas bersama kolam perlombongan Bitcoin utama F2Pool, baru-baru ini berkongsi anekdot peribadi dari tahun lalu sambil berkongsi pendapatnya mengenai insiden pancingan data berasingan yang menyebabkan seseorang kehilangan 50 juta USDT.
Tidak seperti Wang Chun, mangsa sedang bekerjasama dengan penguatkuasa undang-undang untuk mencari penggodam, tetapi juga telah memberikan jalan keluar untuk kedua-dua mereka.
Wang Chun kehilangan Bitcoin kepada penggodam 'murah hati'
Menurut catatan Wang Chun, insiden yang dihuraikan dalam catatannya berlaku pada suatu masa tahun lalu, dan ia berbeza daripada penipuan biasa kerana pengasas bersama F2Pool sudah mengesyaki ada sesuatu yang tidak kena dengan dompet tersebut.
Dalam catatannya, dia mengimbau kembali kecurigaannya bahawa salah satu kunci peribadi dompetnya telah terjejas. Untuk menentukan sama ada dompet sedang dipantau secara aktif oleh penggodam, Wang Chun mendakwa dia sengaja menghantar 500 BTC.
Mengapa dia menghantar jumlah yang begitu besar adalah di luar jangkaan sesiapa, tetapi mungkin dia memerlukan umpan yang cukup besar untuk mendapatkan respons daripada penggodam yang memantau dompet. Nah, dia mendapat apa yang dicarinya kerana sebaik sahaja dana masuk ke dompet, penggodam mula bertindak.
Walau bagaimanapun, menurut Wang Chun, penggodam ini tidak sepenuhnya tamak dan hanya menguras 490 Bitcoin, meninggalkan 10 di belakang, yang menyebabkan Wang secara sarkastik memanggil penyerang itu "murah hati." Dia bergurau bahawa mereka boleh menguras seluruh akaun tetapi memilih untuk meninggalkan cukup untuk "sara hidup" nya.
Catatan Wang menjelaskan bahawa ini bukan eksploitasi tradisional atau kerugian tidak sengaja; ia adalah dia sengaja menguji untuk menghapuskan keraguan. Dan dia betul. Walaupun ia merugikannya 490 Bitcoin.
Wang berkongsi alamat penggodam, "14H12PpQNzrS1y1ipjF4mPuVgQEpgfGA79," sebagai rujukan, tetapi tidak mengatakan apa-apa tentang menjejak penggodam atau cuba memulihkan dana yang dicuri.
Dalam bahagian komen, pengguna memberi komen dengan kekeliruan dan keraguan. Mereka ingin tahu mengapa dia perlu menguji syaknya dengan jumlah yang begitu besar. Ada yang menyatakan dia hanya cuba berlaku tenang dan bahawa dia sebenarnya menghantar BTC tanpa mengetahui dompet telah terjejas.
Yang lain mengejeknya kerana mendakwa dia memerlukan 10 BTC untuk "sara hidup."
Adakah seseorang kehilangan $50 juta akibat pancingan data?
Wang Chun berkongsi kisah pengalamannya tahun lalu sebagai respons kepada catatan tentang insiden pancingan data yang berlaku pada 20 Disember, di mana Cryptopolitan melaporkan bahawa mangsa kehilangan sehingga 50 juta USDT.
Pengasas bersama F2Pool menggelar peristiwa itu sebagai perkara yang disesali, kerana dia berharap pengguna akan mendapat kembali dananya. Dana telah hilang selepas pengguna yang terjejas secara tidak sengaja menghantar hampir $50 juta dalam USDT ke alamat penipuan dalam apa yang telah dilabelkan sebagai serangan keracunan alamat klasik.
Menurut penyiasat on-chain Web3 Antivirus, mangsa kehilangan 49,999,950 USDT selepas menyalin alamat dompet berniat jahat daripada sejarah transaksi mereka. Pengguna sebenarnya berhati-hati, menurut data on-chain, kerana mereka pada mulanya menghantar transaksi ujian kecil sebanyak $50 ke alamat yang betul.
Walau bagaimanapun, penipu segera memalsukan dompet dengan empat aksara pertama dan terakhir yang sama, kemudian melakukan serangan keracunan alamat. Ini berkesan kerana banyak dompet menyembunyikan bahagian tengah alamat dengan "…" untuk membuat UI kelihatan lebih baik.
Kebanyakan CT sudah biasa dengan ini, dan ramai pengguna sering menyalin alamat daripada sejarah transaksi, biasanya hanya memeriksa huruf permulaan dan akhir. Mangsa tidak berbeza.
Apabila memindahkan baki 49,999,950 $USDT, mangsa menyalin alamat palsu daripada sejarah transaksinya, memeriksa huruf permulaan dan akhir, dan beberapa minit kemudian menghantar pemindahan penuh $50 juta ke alamat yang diracun.
Penyelidik keselamatan Cos, pengasas SlowMist, telah mengesahkan memang terdapat persamaan antara alamat, dan walaupun ia halus, ia cukup untuk menipu pengguna berpengalaman. "Anda boleh lihat 3 aksara pertama dan 4 aksara terakhir adalah sama," tulisnya.
Penyerang sejak itu telah menukar USDT yang dicuri kepada Ether, membahagikannya ke dalam beberapa dompet, dan sebahagiannya dipindahkan ke Tornado Cash. Walau bagaimanapun, pengguna yang terjejas, tidak seperti Wang Chun, tidak melepaskan dana dan telah bekerjasama dengan penguatkuasa undang-undang untuk menjejak penggodam.
Pengguna telah menghantar mesej on-chain kepada penggodam, mendedahkan mereka telah memfailkan kes jenayah dan, dengan bantuan penguatkuasa undang-undang dan agensi lain, mengumpul maklumat tentang aktiviti penggodam.
Menurut mesej tersebut, penggodam mempunyai peluang terakhir untuk meninggalkan insiden ini tanpa akibat undang-undang. Penggodam dikehendaki menghantar balik 98% daripada dana yang dicuri dalam tempoh 48 jam dan telah dinasihatkan untuk menyimpan $1,000,000 untuk mengenal pasti kelemahan. Tawaran itu bergantung kepada kerjasama segera mereka.
Kegagalan untuk mematuhi, pengguna berjanji untuk meningkatkan siasatan dan mendedahkan identiti penggodam sambil meneruskan tindakan sivil dan jenayah sehingga keadilan telah dilaksanakan sepenuhnya.
Ini bukan kali pertama penipuan keracunan alamat sedemikian berlaku, tetapi menurut Ethereum Community Foundation, ia perlu menjadi kali terakhir. Untuk itu, ECF telah menyeru "menamatkan amalan memotong alamat dengan titik."
Menurut yayasan tersebut, semua skrin kini boleh memaparkan alamat penuh, jadi menyembunyikan aksara tengah hanya berfungsi untuk mewujudkan risiko yang boleh dielakkan.
"Dompet dan penjelajah blok terus menghasilkan pilihan UI yang secara aktif menjejaskan keselamatan pengguna," tulis yayasan di X. "Ini boleh diselesaikan."
Dapatkan sehingga $30,050 dalam ganjaran dagangan apabila anda menyertai Bybit hari ini
Sumber: https://www.cryptopolitan.com/f2pool-co-founder-bitcoin-loss-to-hacker/
