Команда розробників популярного криптогаманця Trust Wallet впровадила інноваційний механізм для протидії одному з найпоширеніших видів кібершахрайства в екосистемі блокчейну – так званому “address poisoning” (отруєння адреси). Цей вид злому базується на підміні справжніх адреси користувачів на сфабриковані, що може призвести до непоправних фінансових втрат.
Автоматизований захист від шахрайських схем
Новий функціонал забезпечує автоматичний аналіз адреси одержувача перед здійсненням транзакції в мобільному застосунку Trust Wallet. Якщо система виявляє, що адреса потенційно належить до відомої шахрайської схеми або має ознаки фальсифікації, користувач отримує вичерпне попередження ще до моменту підтвердження відправлення коштів. Цей механізм вже активний у першій версії оновлення і охоплює 32 блокчейни, що підтримують віртуальну машину Ethereum (EVM), включно з Ethereum, Binance Smart Chain та іншими сумісними мережами. Розробники планують розширити підтримку й на інші блокчейн-ланцюги в майбутньому.
„Отруєння адрес? Тепер це не про нас“, — так команда Trust Wallet прокоментувала своє нововведення у офіційному акаунті на платформі X.
Суть загрози “address poisoning”
Механізм “address poisoning” передбачає генерацію шахраями адрес, які візуально майже ідентичні справжнім. Зазвичай, вони мають однакові початкові та кінцеві символи, але відрізняються всередині. Після цього зловмисники надсилають на таку адресу мізерну суму (нерідко 0 або незначну кількість токенів), аби вона з’явилася в історії транзакцій користувача. Коли жертва, бажаючи здійснити переказ, копіює цю адресу зі своєї історії, вона ризикує випадково надіслати свої кошти безпосередньо шахраям. Аналітичні дослідження та звіти свідчать, що “address poisoning” вже призвело до значних фінансових втрат у криптовалютній сфері. За деякими даними, загальний обсяг збитків від таких атак може сягати десятків мільйонів доларів, а кількість спроб вимірюється сотнями мільйонів.
У процесі розробки нового інструмента Trust Wallet використовує агреговані дані з авторитетних баз даних від HashDit та Binance Security. Це дозволяє ефективно порівнювати адресу одержувача з переліком відомих шахрайських та “схожих” адрес. Крім того, система здатна відображати сусідні, потенційно схожі адреси, надаючи користувачеві можливість детально побачити відмінності між оригіналом та фейком. Фелікс Фан, генеральний директор Trust Wallet, наголосив на критичній важливості автоматичних попереджень у реальному часі саме на етапі введення адреси. Значна частка втрат трапляється ще до підтвердження транзакції, коли користувач, хоч і не відправив кошти, вже впевнений у правильності адреси.
„Перевірка адрес у реальному часі захищає користувачів, позначаючи потенційно шахрайські або схожі на справжні гаманці адреси ще до підтвердження транзакції“, — зазначають представники Trust Wallet.
Про серйозність загрози “address poisoning” свідчать і висловлювання інших впливових осіб у криптоспільноті. Наприклад, засновник Binance Чанпенг Чжао (CZ) неодноразово критикував сервіси, такі як блок-оглядач Etherscan, за відсутність фільтрації транзакцій з шахрайськими адресами, що дозволяє останнім з’являтися в історії користувачів. CZ висловив думку, що рішення Trust Wallet можуть стати основою для простого фільтра, здатного “повністю усунути” подібні загрози.
Оцінки збитків від “address poisoning” варіюються. За даними деяких джерел, загальна шкода, завдана користувачам криптовалют від подібних атак, на глобальному рівні перевищує 500 мільйонів доларів США. Це включає випадки, коли користувачі помилково переказували значні кошти на фейкові адреси. Окрім Trust Wallet, низка інших криптогаманців та сервісів також почали впроваджувати фільтри для протидії “address poisoning” або рекомендують користувачам ретельніше перевіряти адреси вручну, використовувати адресні книги чи імена адрес (ENS), аби уникнути таких атак. Однак рівень захисту та автоматизації цих рішень суттєво відрізняється між провайдерами. Нова функція Trust Wallet є важливим кроком у боротьбі з фішинговими атаками, що експлуатують соціальну інженерію та людську необережність. Вона частково перекладає відповідальність за виявлення шахрайських адрес з користувача на автоматизований механізм у застосунку, що потенційно може знизити ризики випадкових втрат криптовалютних активів.
У користувачів Trust Wallet викрали близько $7 млн через помилку у розширенні браузера
Думка UA Finansy: Впровадження такого захисту в Trust Wallet є надзвичайно важливим кроком для безпеки користувачів у дедалі складнішому криптоландшафті. Це демонструє, що інноваційні рішення з використанням аналітики даних та штучного інтелекту стають ключовим інструментом для протидії шахрайству, підвищуючи довіру до цифрових фінансових інструментів.
Оригінал статті: itc.ua