Zatruwanie Adresu: Dlaczego 'Kopiuj-Wklej' jest niebezpieczne?

Streszczenie: Chcesz wysłać 100 ETH. Wchodzisz w historię transakcji, kopiujesz adres, na który wysłałeś środki wczoraj, i klikasz wyślij. Pieniądze przepadły. Dlaczego? Ponieważ haker wysłał do twojego portfela transakcję o wartości 0 USD z adresu, który wygląda "przerażająco identycznie". To się nazywa Address Poisoning.

---

---

1. Mechanizm: Generator Adresów Vanity

Adresy Ethereum to losowe ciągi szesnastkowe.

• Prawdziwy: 0x123...abc

Jednak hakerzy mogą używać skryptów (takich jak "Profanity"), aby generować miliony adresów na sekundę, aż znajdą taki, który pasuje do określonego ciągu twojego adresu docelowego.

Nazywa się to Vanity Address.

• Twój Prawdziwy Cel: 0x892...29c
• Zatruty Adres: 0x892...29c (Uwaga: Początek i koniec są identyczne, ale środek jest zupełnie inny)

2. Atak: Zanieczyszczanie Historii (Polluting the History)

Hakerzy obserwują blockchain. Kiedy widzą, że wysyłasz dużą transakcję do kogoś (np. na swój Ledger lub Binance), atakują.

1. Tworzą zatruty adres, który "przypomina" ten, na który właśnie wysłałeś środki.
2. Wysyłają transakcję o wartości 0 USD (0 USDT/USDC) z tego adresu do twojego portfela.
3. Niektóre portfele (jak MetaMask lub Ledger Live) wyświetlają to w twojej historii transakcji.

Teraz twoja historia jest "zanieczyszczona".

Wczoraj: Wysłano 100 ETH do Alice (Prawdziwe) Dzisiaj: Otrzymano 0 ETH od Fake_Alice (Trucizna)

3. Dlaczego to działa (Błąd Ludzki)

Następnym razem, gdy chcesz wysłać pieniądze do Alice, nie prosisz jej o adres ponownie dla wygody.

Otwierasz swój portfel. Patrzysz na "Ostatnie Transakcje". Widzisz tę na samej górze: 0x892...

Twój mózg używa Myślenia Systemu 1 (szybkie myślenie):

• "Zaczyna się od 0x892? Tak."
• "Kończy się na 29c? Tak."
• "Więc to musi być właściwy adres."

Kopiujesz. Wysyłasz. Haker wygrywa.

4. Obrona: "Sprawdź Środek" (The Middle Check)

Aby się chronić, musisz zmienić swoje nawyki sprawdzania.

Nie Ufaj Historii

Nigdy nie kopiuj adresów z historii transakcji. Historia to publiczna księga; każdy może tam wpisać pozycję. Kopiuj tylko ze Źródła (Source) (np. wiadomości WhatsApp od Alice lub strony depozytowej giełdy).

"Spot Check" (Wyrywkowa Kontrola)

Sprawdzanie tylko pierwszych 4 i ostatnich 4 znaków nie jest już bezpieczne.

Nowy Standard: Sprawdź początek, koniec ORAZ losowe 4 znaki w środku.

• Prawdziwy: 0x892... **55a1** ...29c
• Zatruty: 0x892... **bb23** ...29c

Używaj Książki Adresowej

Większość portfeli ma funkcję "Książka Adresowa" lub "Biała Lista" (Whitelist).

1. Dodaj adres swojego Ledgera.
2. Nazwij go "Mój Bezpieczny Ledger".
3. Wysyłaj tylko do zapisanych kontaktów. Hakerzy nie mogą zmienić twojej lokalnej książki adresowej.

Więcej: Dowiedz się, jak unikać złośliwych zatwierdzeń, które czyszczą portfel bez transakcji, i opanuj Zasadę Zakładki, aby weryfikować odbiorców.

Wnioski

W krypto twoje lenistwo jest najlepszym przyjacielem hakera. Poświęć te dodatkowe 5 sekund na sprawdzenie środkowych znaków. To może uratować twoje oszczędności życia.