Останній інцидент з фішингом $50M USDT, пов’язаний з адресами Ethereum, що виглядають подібно, є яскравим нагадуванням про те, як дрібні UX-рішення можуть мати величезні фінансові наслідки. У цьому випадку скорочення адрес гаманців, що показують лише перші та останні кілька символів, полегшило зловмисникам використання людської довіри та розпізнавання шаблонів. Коли дві адреси майже ідентичні на перший погляд, користувачі часто припускають, що вони надсилають кошти на правильне місце. Цей інцидент справедливо спонукав спільноту Ethereum закликати провайдерів гаманців переглянути спосіб відображення та перевірки адрес.

На особистому рівні я вважаю, що перевірка повної адреси має бути обов’язковою звичкою, особливо для великих транзакцій. Хоча я розумію, що довгі шістнадцяткові рядки важко читати та порівнювати, покладання лише на скорочені перегляди або візуальну схожість є ризикованим. Зловмисники це знають і навмисно генерують “вітальні” або подібні адреси, що імітують довірені. На мою думку, зручність ніколи не повинна переважати безпеку у фінансових системах — особливо у крипто, де транзакції є необоротними.
Однією з ключових проблем є те, що люди не дуже добре справляються з ручною перевіркою довгих рядків, але багато дизайнів гаманців все ще покладають цю відповідальність цілком на користувача. Тут може суттєво допомогти кращий інструментарій. Гаманці повинні за замовчуванням відображати повні адреси у зручному для читання вигляді, пропонувати легке копіювання та порівняння, а також активно попереджати користувачів, коли адреса дуже схожа на ту, яку вони вже використовували, але не є точною. Простий UX, наприклад, підсвічування різних символів, міг би запобігти мільйонам у збитках.
З точки зору запобігання, існує кілька рівнів, які мають працювати разом. По-перше, захист на рівні гаманця є критичним: відсутність скорочення за замовчуванням, сильні візуальні підказки, попередження про схожість адрес і екрани підтвердження транзакцій, що заохочують свідомий перегляд. По-друге, практики користувачів важливі так само. Я настійно рекомендую робити невелику тестову транзакцію перед переказом великих сум, зберігати закріплені перевірені адреси та ніколи не довіряти адресам, скопійованим з чатів або соцмереж без незалежної перевірки.
Крім гаманців і користувачів, широка екосистема також має свою роль. Стандарти, такі як ENS (Ethereum Name Service), можуть значно зменшити залежність від сирих адрес, якщо користувачі розуміють, як перевіряти володіння ENS і його терміни дії. Біржі, DeFi-додатки та емітенти стабільних монет також повинні більше інвестувати в освіту, чітко пояснюючи поширені техніки фішингу та зміцнюючи безпечні звички транзакцій.
На мою думку, найбільший урок із цього інциденту полягає в тому, що безпека у крипто — це так само про дизайн і поведінку, як і про криптографію. Скорочення адрес може здаватися безпечним, але на практиці воно створює хибне відчуття впевненості. Запобігання подібним інцидентам вимагає культурної зміни — повільнішого, більш обдуманого підходу до транзакцій, підтримуваного розумнішими гаманцями та більш обізнаними користувачами. У середовищі, де один клік може перемістити мільйони доларів, обережність — це не параною, а професіоналізм.
‍#EthereumWarnsonAddressPoisoning