Потеря денег — практически неотъемлемая составляющая мира криптовалют. К примеру, в июне 2022 года Биткоин-инвесторы лишились рекордной суммы в течение всего трёх дней. Виной тому стал обвал BTC до 17.62 тысячи долларов, из-за которого позиции многих участников рынка монет банально были проданы, а общий объём потерь достиг 7.3 миллиарда долларов. Сегодня речь пойдёт об утрате миллионов долларов, однако их украли куда более находчиво и неожиданно. Рассказываем о горьком опыте инвестора подробнее.
По традиции начнём с объяснения. Лишиться денег в индустрии криптовалют можно разными способами. Наиболее банальный из них — купить монету и долго её держать, пережидая периоды роста рынка и падения. В частности, так случилось с ютьюбером под псевдонимом NasDaily, который вложил в Биткоин 500 тысяч долларов. В начале лета его инвестиции снизились до 200 тысяч, хотя владелец криптовалюты при этом особо не расстроился.
Некоторым криптовалютным инвесторам везёт меньше: они могут потерять вообще все деньги из-за краха той или иной монеты. Последним громким примером подобного стала криптовалюта под названием LUNA. В мае 2022 года она рухнула на 99.9 процента, из-за чего многие держатели капитала остались банально ни с чем.
Однако обиднее всего потерять сбережения из-за деятельности мошенников. В случае с миром криптовалют некоторые из них обладают хорошими навыками программирования, что позволяет украсть средства человека незаметно для него. Более того, последний сам поделится криптой и даже не осознает этого. Сегодняшний случай — как раз такой.
Как теряют миллионы долларов на криптовалютах
О краже денег сообщил основатель и руководитель биржи Binance Чанпен Чжао. Сегодня ночью он сделал следующее заявление.
Наша команда обнаружила потенциальную уязвимость Uniswap V3 на базе блокчейн-сети Эфириума. Хакер уже украл 4295 ETH, причём сейчас их отмывают через Tornado Cash. Может ли кто-то выйти на связь с Uniswap? Мы можем помочь. Спасибо.
Отметим, что Uniswap является децентрализованной криптовалютной биржей. То есть это платформа, которая позволяет обменивать цифровые активы без участия посредников в лице централизованной биржи по типу той же Binance. Особенности платформы мы изучили ещё в сентябре 2020 года, когда децентрализованные платформы попали в поле зрения пользователей.
В то же время Tornado Cash — так называемый криптовалютный миксер. Речь идёт о платформе, созданной для запутывания следов в блокчейн-транзакциях. Благодаря миксеру можно отправить монеты с одного адреса и получить их в разных порциях на совершенно другой адрес. Подробнее об этой схеме мы писали в отдельном материале.
Спустя полчаса Чанпен поделился деталями общения с представителями Uniswap. Оказалось, что проблемы в протоколе нет, а кража серьёзного количества эфиров — это эквивалент 4.7 миллиона долларов — результат фишинга.
Фишинг — разновидность мошенничества, которая предполагает доступ к конфиденциальным данным пользователя. В мире за рамками криптовалют это может быть, к примеру, данные банковской карты. При этом в крипте хакеры чаще всего пытаются выведать так называемую фразу восстановления или мнемоническую фразу пользователя. Речь идёт об уникальной комбинации из 12, 18 или 24 слов, которая предоставляет доступ к содержимому криптовалютного кошелька и позволяет распоряжаться с монетами.
Впрочем, здесь схема была более сложной. Итак, прежде всего хакеры определили, владельцы каких адресов предоставляли ликвидность на платформе Uniswap, то есть по сути делились своими деньгами для проведения сделок другими пользователями, за что получали проценты. Поскольку блокчейны являются прозрачными, сделать это просто.
Затем они создали токен под названием UniswapLP, что создавало иллюзию связи монеты с настоящей платформой Uniswap, сообщает Cointelegraph. Из-за хороших навыков программирования хакеры скрыли в токен различные разрешения, позволяющие им получить контроль над кошельком, который взаимодействовал с монетой.
После этого наступил этап рассылки криптовалюты на интересующие адреса. И хотя у пользователя криптовалют были миллионы долларов в монетах, он купился на этот трюк и начал проводить транзакцию с полученным вредоносным токеном, видя в нём лишь UNI — официальный нативный токен биржи Uniswap.
Для взаимодействия с токеном нужно дать разрешение на его использование с адресом в блокчейне — и именно этого было достаточно мошенникам. В результате попытки обменять мошеннический токен на другую монету хакеры смогли опустошить кошелёк жертвы, причём сделать это абсолютно дистанционно.
Как описывают аналитики, хакеры вдобавок подписали создателя токена как “Uniswap V3: Positions NFT”, что также создавало иллюзию связи с реальным блокчейн-проектом. Вдобавок жертва перешла на сайт от мошенников, который передал важные данные атакующей стороне. В результате последняя и украла большую сумму. Судя по деталям в посте на Реддите, мошенники украли ETH, различные ERC20-токены и даже NFT.
Как выяснилось позже, об опасности предупреждали некоторые известные люди в криптовалютном сообществе. В частности, вчера вечером пользователь Твиттера под псевдонимом harry.eth рассказал, что на блоке сети Эфириума под номером 151 223 32 состоялась рассылка вредоносного токена, который маскировали под реальную монету биржи Uniswap. По его данным, такой токен получили 73 399 адреса, то есть масштабы деятельности хакеров были существенными.
Отметим, что фишинг в индустрии криптовалют действительно распространённый. К примеру, нас мошенники пытались заманить на вредоносный сайт, использовав для этого NFT-токены. На них, собственно, и была указана ссылка, куда якобы нужно было перейти для получения NFT.
Скорее всего, на сайте нас бы попросили одобрить взаимодействие с токеном — а это тоже закончилось бы потерей средств.
Особенно забавно, что мошенники позиционировали эти NFT как “официальный проект от разработчика блокчейна Solana Анатолия Яковенко”. Хотя по внешнему виду было понятно, что что-то здесь не то.
Мы считаем, что, увы, вернуть здесь криптовалюту жертве уже вряд ли получится. В целом данная ситуация является показательной, ведь на фишинг попался человек с миллионами долларов в криптовалюте. Остаётся напомнить, что переходить на различные сайты от незнакомых людей — а уж тем более проводить с ними операции со своего криптовалютного кошелька — нельзя вне зависимости от предлога. Это может закончиться безвозвратной утерей средств.
Поделитесь мнением о происходящем в нашем крипточате миллионеров. Там обсудим и другие важные события из мира блокчейна.