F2Pool совместно протестировал безопасность закрытого ключа! 500 Биткойн было украдено 490.

21 декабря соучредитель крупнейшего в мире майнингового пула Биткойн F2Pool (рыбный пул) Ван Чунь в X рассказал о своем удивительном опыте кражи 500 монет BTC. Причиной стало обсуждаемое в сообществе событие “фишинговая атака на 50 миллионов USDT”, Ван Чунь процитировал сообщения, отправленные жертвой хакеру, и самоиронично заметил, что хакер проявил себя очень “щедро”, забрав всего 490 монет, оставив ему 10 монет Биткойн на жизнь.

5000 миллионов USDT рыболовный атака абсурдная операция

! Совместное создание F2Pool взломано

（Источник: Ван Чунь）

Этот инцидент, который привел к самораскрытию Ван Чуна, сам по себе является безопасной катастрофой стоимостью 50 миллионов долларов. На днях один кит/институт вывел 50 миллионов USDT с Binance и сначала “проверил”, отправив 50 USDT на адрес, запланированный для получения. В результате злоумышленник быстро сгенерировал похожий адрес с одинаковыми первыми и последними 3 цифрами и перевел жертве 0.005 USDT в виде пыльного токена.

Жертва при официальном переводе, предположительно, скопировала адрес напрямую из недавней истории транзакций, что привело к тому, что 50 миллионов USDT были полностью переведены на похожий адрес атакующего. Этот метод атаки называется «отравление адреса» (Address Poisoning), и он использует привычку пользователей копировать адреса из истории транзакций, чтобы внедрить похожий адрес и вызвать ошибочный перевод.

После атаки жертва отправила хакеру сообщение в блокчейне: «Мы официально подали уголовный иск. При помощи правоохранительных органов, учреждений кибербезопасности и нескольких блокчейн-протоколов мы собрали множество существенной и конкретной информации о вашей деятельности. Адрес кошелька, которым вы управляете, в настоящее время находится под круглосуточным мониторингом. Это ваш последний шанс мирно разрешить данный вопрос. Вам предлагается в течение 48 часов вернуть 98% украденных активов, вы можете оставить 1,000,000 долларов в качестве 'белого шляпного вознаграждения' за обнаружение уязвимости.»

Эта стратегия переговоров «сначала礼, а затем兵»极为 распространена в криптосообществе. Жертвы обычно сначала пытаются договориться с хакерами, предлагая вознаграждение за белый хак, чтобы вернуть активы, поскольку вернуть украденную криптовалюту крайне сложно. Если хакеры отказываются, то обращаются к правоохранительным органам и компаниям по анализу блокчейна для отслеживания, но вероятность успеха все равно остается очень низкой.

Трехступенчатая схема атак на адреса

Первый этап, генерирование похожих адресов: Атакующий использует инструменты для генерации адресов, которые имеют одинаковые начальные и конечные позиции с целевым адресом, выглядящими крайне похоже.

Второй этап, отправка токенов пыли: отправьте очень небольшую сумму (например, 0.005 USDT) на адрес жертвы, чтобы похожие адреса появились в записи транзакций.

Третий этап, введение в заблуждение: жертва, копируя адрес из записей транзакций, может ошибочно скопировать похожий адрес, что приведет к переводу крупных сумм средств в кошелек злоумышленника.

Способы защиты от этой атаки очень просты: тщательно проверяйте полный адрес при каждой транзакции, а не только первые и последние несколько цифр. Однако человеческая лень и привычки приводят к повторению этой простой ошибки. Когда сумма перевода достигает 50 миллионов долларов, цена такой небрежности катастрофична.

Весьма абсурдная логика тестирования 500 монет BTC от Ван Чунь

Когда сообщество скорбело о 50 миллионах USDT, откровение соучредителя F2Pool Ваня Чуна потрясло всех. «В прошлом году я заподозрил, что мой приватный ключ был скомпрометирован. Чтобы подтвердить, действительно ли этот адрес стал небезопасным, я перевел на него 500 Битов.» Абсурдность этой операции заключается в том, что, заподозрив утечку приватного ключа, нормальный человек должен был немедленно прекратить использование этого адреса и перевести все активы, но Ван Чун вместо этого совершил обратное действие, добровольно переведя крупную сумму для «теста».

Эта логика похожа на: если есть сомнения, что замок дома сломан, то вместо того, чтобы срочно починить замок, лучше оставить кучу наличных дома и посмотреть, не украдут ли их. Если их действительно украдут, то это не только подтвердит, что замок сломан, но и приведет к потере имущества. Метод тестирования Ван Чуна совершенно непонятен экспертам в области безопасности, потому что он превращает сомнения в уверенность и потенциальные потери в реальные.

Меня удивило, что хакеры проявили такую “щедрость”, взяв всего 490 монет и оставив мне 10 монет Биткойна на жизнь. Тон Ван Чуна в этом поддразнивании просто шокирует. 490 монет Биткойна на тот момент (февраль 2024 года) стоили около 24,5 миллиона долларов, а 10 монет — около 500 тысяч долларов. Для обычного человека 500 тысяч долларов могут изменить судьбу, но для Ван Чуна это всего лишь “деньги на жизнь”.

По адресу хакера, предоставленному Ван Чунем, 14H12PpQNzrS1y1ipjF4mPuVgQEpgfGA79, после отслеживания исторических записей было обнаружено, что 12 февраля 2024 года действительно произошли соответствующие транзакции. Это подтверждает слова Ван Чуна, что это не вымысел, а реальная потеря значительной суммы. Однако сам Ван Чунь не предоставил дополнительных объяснений по этому вопросу, не сказал, как он подозревает утечку приватного ключа, не указал, было ли подано заявление в полицию для расследования, и не объяснил, почему выбрал такой абсурдный метод тестирования.

Мир богатых и горькие уроки безопасности закрытых ключей

Ван Чунь Юнь, с легким и невозмутимым самовыражением, заставила всех в сообществе вздохнуть: «Мир богатых действительно не для простых людей». F2Pool, будучи одним из крупнейших майнинговых пулов Биткойн в мире, действительно обладает богатством, выходящим за пределы воображения. Но такое отношение «потерять 25 миллионов долларов и все равно смеяться» является как предметом зависти, так и предупреждением для обычных инвесторов.

Завидую состоянию финансовой свободы. Когда ваше богатство значительно превышает необходимые для жизни расходы, потеря в 25 миллионов долларов, хотя и болезненная, не является смертельной. Уэй Чунь может оставаться таким спокойным, что свидетельствует о том, что его общее состояние может превышать несколько сотен миллионов долларов, а потеря в 490 BTC — это лишь небольшая часть его активов. Эта финансовая свобода позволяет ему выдерживать риски и потери, которые обычные люди не могут представить.

Предупреждение касается жестокости безопасности частного ключа. «Not your keys, not your coins» (частный ключ не у вас, токены не принадлежат вам) — это железное правило криптосообщества. Если частный ключ будет скомпрометирован, независимо от того, являетесь ли вы миллиардером или обычным инвестором, ваши активы мгновенно обнулятся. Еще хуже то, что переводы криптовалюты необратимы, ни один банк не может заморозить, ни один суд не может вернуть, и почти невозможно вернуть средства после того, как их заберет хакер.

Случай Ван Чунь раскрывает несколько ключевых уроков. Во-первых, если есть подозрение на утечку приватного ключа, правильным решением будет немедленно отключить этот адрес и перевести активы на новый адрес, а не проводить тест с крупной суммой перевода. Во-вторых, управление приватными ключами должно использовать такие меры безопасности, как мультиподпись, аппаратные кошельки и разделение холодного и горячего хранения, так как риск использования одного приватного ключа слишком велик. В-третьих, даже такие ведущие эксперты отрасли, как F2Pool, могут допускать фатальные ошибки в вопросах безопасности; никто не может быть неосторожным.

Для обычных инвесторов эта история предоставляет крайне ценное, но дорогостоящее урок. Если у вас есть подозрения на утечку приватного ключа, немедленно: прекратите использовать этот адрес, переведите активы на новый адрес (после небольшого теста переведите крупную сумму), проверьте все возможные пути утечки (вирусы на компьютере, фишинговые сайты, социальная инженерия), подумайте о подаче заявления в правоохранительные органы и обращении за помощью к профессиональной службе безопасности. Никогда не делайте так, как Ван Чун, активно переводя крупные суммы для «тестирования», потому что у вас может не быть таких финансовых возможностей, чтобы понести убытки.

Хакер «щедро» оставил 10 монет BTC, и это тоже заслуживает анализа. Это может быть психологическая тактика хакера: полное обнуление может разозлить жертву, заставив ее без оглядки пытаться отследить его, но оставив немного «карманных денег», возможно, жертва решит смириться. Для Ван Чуна, обладающего активами в сотни миллионов, потеря 490 монет болезненна, но не стоит тратить много времени и сил на отслеживание. Хакер точно уловил эту психологию, забрав большую часть активов и снизив риск быть полностью отслеженым.

Этот инцидент контрастирует с фишинговой атакой на сумму 50 миллионов USDT. В первом случае жертва по неосторожности скопировала неправильный адрес, во втором — жертва, зная о рисках, все равно произвела перевод. Общая черта обеих ситуаций заключается в том, что человеческая ошибка является главной причиной потерь криптоактивов, значительно превышающей хакерские атаки на биржи или уязвимости смарт-контрактов. Даже самая передовая технология не может защитить от человеческой небрежности и психологии удачливости.

Для криптоиндустрии эти случаи предупреждают всех участников: безопасность приватных ключей — это жизненно важный навык. Независимо от того, являетесь ли вы мелким инвестором, владеющим 0,1 BTC, или китом, владеющим 500 BTC, последствия утечки приватного ключа или неправильного адреса необратимы. В этом мире «код — это закон» нет возможности сожалеть, единственной защитой является многократная проверка перед каждой операцией, больше сомнений и больше осторожности. Урок в 25 миллионов долларов, который заплатил Ван Чунь, стал дорогим, но глубоким уроком безопасности для всей индустрии.