ضرر ۵۰ میلیون دلاری یک تریدر به خاطر اسکم آدرس: عادت‌های ولت خودتان را چک کنید

گزارش‌ها نشان می‌دهد یک تریدر کریپتو، ۵۰ میلیون دلار تتر (USDT) را به آدرس یک کلاهبردار فرستاده است. همه‌چیز از یک حمله «مسموم‌سازی آدرس» (Address Poisoning) شروع شد و یک کپی-پیست ساده و تنبلانه، تبدیل به یکی از گران‌ترین اشتباهات تاریخ کریپتو شد.

از آنجایی که قیمت استیبل‌کوین‌هایی مثل تتر ثابت است، بازار بعد از این اتفاق تکان خاصی نخورد، اما همین موضوع نشان می‌دهد که این مدل کلاهبرداری‌ها چقدر برای کاربران عادی خطرناک هستند. در حالی که اخبار بزرگ روی هک صرافی‌ها تمرکز می‌کنند، اسکم‌های بی‌سروصدای ولت مثل این مورد، دقیقاً دارایی مردم را هدف می‌گیرند.

با من، آکیاما فلیکس، همراه باشید تا نگاهی دقیق به این کلاهبرداری کثیف بیندازیم. من از تجربه‌ سال‌های حضورم در دنیای کریپتو استفاده می‌کنم تا به شما بگویم چه کارهایی را باید انجام دهید و از چه کارهایی دوری کنید.

حمله مسموم‌سازی آدرس چیست و چرا باید به آن اهمیت بدهید؟
اولین چیزی که باید بدانید این است که آدرس‌های کریپتو رشته‌های طولانی و تصادفی از حروف و اعداد هستند. اکثر ما هیچ‌وقت آن‌ها را تایپ نمی‌کنیم و به جایش از کپی و پیست استفاده می‌کنیم؛ اسکم‌های مسموم‌سازی آدرس دقیقاً از همین عادت سوءاستفاده می‌کنند.

کلاهبردار یک تراکنش جعلی با مبلغ صفر دلار (یا یک مقدار ناچیز) از ولتی می‌فرستد که ظاهرش تقریباً شبیه به ولتی است که شما زیاد از آن استفاده می‌کنید. طبق گفته متامسک، مهاجمان معمولاً حروف اول و آخر آدرس را با آدرس واقعی شما یکی می‌کنند تا در نگاه اول همه‌چیز درست به نظر برسد.

این «سم» فقط یک تراکنش دریافتی ساده نیست. مهاجمان از قابلیتی در قرارداد هوشمند تتر استفاده می‌کنند تا یک انتقال صفر دلاری از ولت خود شما به آدرس مشابه خودشان ثبت کنند. این کار باعث می‌شود در تاریخچه ولت شما طوری به نظر برسد که انگار خودتان آن پول را فرستاده‌اید و این‌طوری احتمال اینکه دفعه بعد به آن آدرس اعتماد کنید، خیلی بالا می‌رود.

حالا تاریخچه ولت شما آدرس مشابه کلاهبردار را نشان می‌دهد. دفعه بعد که بخواهید برای یک دوست پول بفرستید یا دارایی‌تان را به صرافی یا ولت سخت‌افزاری منتقل کنید، ممکن است به اشتباه آدرس را از تاریخچه بردارید. یک پیست، یک کلیک و تمام؛ پول پرید.

این مدل اسکم از اوایل سال ۲۰۲۳ شدت گرفت و ولت‌هایی مثل متامسک هشدار دادند که دیگر به تاریخچه تراکنش‌ها به عنوان دفترچه تلفن اعتماد نکنید و قبل از ارسال، تک‌تک حروف آدرس را چک کنید.

این اسکم کجای پازل امنیت کریپتو قرار می‌گیرد؟
این ضرر ۵۰ میلیون دلاری یک اتفاق تصادفی و یک‌باره نیست. این مورد در کنار هک‌های بزرگ صرافی‌ها مثل سرقت ۱.۵ میلیارد دلاری از بای‌بیت در سال ۲۰۲۵ یا هک ۲۳۵ میلیون دلاری وزیر-ایکس در سال ۲۰۲۴ قرار می‌گیرد. هکرها حالا هم صرافی‌ها و هم افراد را با یک میزان دقت هدف قرار می‌دهند.

می‌توانید این را مثل مقایسه سرقت از بانک با جیب‌بری در خیابان در نظر بگیرید. هک صرافی‌ها مثل زدن بانک است، اما اسکم مسموم‌سازی آدرس مثل جیب‌بری در یک خیابان شلوغ است. اگر فقط حواستان به درهای بانک باشد، جیب‌بر باز هم کیف پولتان را می‌زند.

تتر نقش بزرگی در ترید و دی‌فای دارد و مثل نسخه دیجیتالی دلار عمل می‌کند. وقتی کسی ۵۰ میلیون دلار تتر را در یک تراکنش اشتباه از دست می‌دهد، بازار استیبل‌کوین‌ها خراب نمی‌شود، اما به همه یادآوری می‌کند که این انتقال‌ها برگشت‌ناپذیر هستند. هیچ قابلیتی برای لغو تراکنش یا پشتیبانی فنی برای برگرداندن پول وجود ندارد.

چه کارهایی را باید همین امروز برای محافظت از ولت خود تغییر دهید؟
نیازی نیست از ولت شخصی (Self-custody) بترسید، اما باید چند عادت را عوض کنید. با این قانون شروع کنید: هیچ‌وقت به تاریخچه تراکنش‌ها به عنوان مرجع آدرس اعتماد نکنید. با آن مثل پوشه اسپم ایمیل برخورد کنید؛ شاید چیز مفیدی در آن باشد، اما فرض را بر این بگذارید که همه‌اش خطرناک است.

به جای این کار، آدرس‌های مورد اعتماد را در لیست کنتاکت‌های ولت ذخیره کنید. متامسک و بقیه ولت‌ها این اجازه را به شما می‌دهند. ولت‌های سخت‌افزاری هم یک لایه امنیتی دیگر اضافه می‌کنند چون شما را مجبور می‌کنند آدرس را روی صفحه نمایش خودِ دستگاه چک کنید، نه فقط روی مانیتور لپ‌تاپ یا گوشی. همین یک چک کردن اضافه جلوی خیلی از اشتباهات کپی-پیست را می‌گیرد.

قبل از هر انتقال بزرگ، کل آدرس را از روی ولت سخت‌افزاری یا پاپ‌آپ ولت بخوانید. نه فقط چهار رقم اول و آخر، بلکه تک‌تک حروف را. شاید حس کنید وقت‌گیر و روی مخ است، اما خیلی ارزان‌تر از یک اشتباه ۵۰ میلیون دلاری تمام می‌شود.

عادت کنید که برای آدرس‌های جدید همیشه اول یک «تراکنش تستی» با مبلغ خیلی کم بزنید. این کار مثل فرستادن یک کارت پستال قبل از فرستادن یک گاوصندوق با پست است.

این اسکم‌ها چه تغییری در رفتار کاربران و ولت‌ها ایجاد می‌کنند؟
هرچه کلاهبردارها باهوش‌تر می‌شوند، ولت‌ها هم باید بیشتر شبیه اپلیکیشن‌های بانکی عمل کنند. در آینده باید منتظر دفترچه‌ تلفن‌های بهتر، هشدارهای جدی موقع ارسال به آدرس‌های ناشناس و حتی لیست‌های سیاه برای آدرس‌های اسکم باشیم.

شخصاً من از قانون ۴-۴-۴ استفاده می‌کنم: ۴ حرف اول، ۴ حرف وسط و ۴ حرف آخر آدرس را چک می‌کنم. اگر حتی یکی از آن‌ها فرق داشت، کل آدرس را یک میدان مین فرض می‌کنم. در دنیایی که اشتباهات ۵۰ میلیون دلاری رخ می‌دهد، بدبینی بهترین دارایی شماست.

برای کاربران، این یک زنگ خطر جدی است. هر بازار صعودی کلی آدم جدید می‌آورد که با کریپتو مثل یک اپلیکیشن ساده برخورد می‌کنند. اما داشتن ولت شخصی یعنی شما خودتان تیم امنیت بانک خودتان هستید. عادت‌های شما تعیین می‌کند که آیا کلاهبردار به پولتان می‌رسد یا نه.

اسکمرها مدام کلک‌های جدید یاد می‌گیرند، اما شما فقط با یک چک‌لیست ساده می‌توانید از آن‌ها جلو بزنید: از لیست کنتاکت‌ها استفاده کنید، آدرس را روی خودِ دستگاه چک کنید، با مبالغ کم تست کنید و هیچ‌وقت در فرستادن مبالغ زیاد عجله نکنید. تکنولوژی پیشرفت می‌کند، اما این عادت‌های امروز شماست که تعیین می‌کند تراکنش بعدی‌تان یک انتقال عادی باشد یا یک داستان ترسناک ۵۰ میلیون دلاری.

لینک منبع