Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Address poisoning в Etherscan: как распознать поддельный адрес-двойник и не потерять средства

Address poisoning — атака, при которой злоумышленник генерирует адрес с совпадающими первыми и последними символами с вашим легитимным адресом и отправляет с него микротранзакцию, чтобы засорить историю операций в Etherscan и кошельке. Расчёт прост: при следующей отправке пользователь откроет историю, увидит «знакомый» адрес и скопирует его — не заметив, что средние символы полностью отличаются. Потеря средств происходит в момент подтверждения транзакции, и отменить её невозможно.

Автор: ~8 мин

Как именно злоумышленник создаёт адрес-двойник?

Ethereum-адрес состоит из 42 символов: префикс 0x и 40 шестнадцатеричных символов. Большинство интерфейсов — кошельки, Etherscan, биржи — отображают сокращённую версию: первые 6 и последние 4 символа. Злоумышленник использует специализированные генераторы ванити-адресов, которые перебирают миллиарды комбинаций в секунду на GPU до получения адреса с нужными первыми и последними символами. Совпадение 4+4 символов достигается за минуты, 6+6 — за часы. Средние 28–32 символа полностью отличаются от оригинала, но в сокращённом отображении это невидимо.

Источник: ЦБ РФ

Как атака выглядит в Etherscan с точки зрения жертвы?

Жертва открывает страницу своего адреса в Etherscan и видит историю транзакций. Среди легитимных операций появляется входящая транзакция на 0 USDT или ничтожную сумму от незнакомого адреса. В сокращённом отображении этот адрес выглядит идентично тому, на который жертва регулярно отправляет средства. При следующей отправке пользователь кликает на «знакомый» адрес в истории, копирует его — и средства уходят мошеннику. Ни Etherscan, ни кошелёк не предупреждают об опасности: технически транзакция полностью корректна.

Какие токены и суммы чаще всего используются для отравления?

Злоумышленники чаще всего используют: USDT и USDC — стейблкоины, которые регулярно переводятся между одними и теми же адресами, что делает историю предсказуемой; фейковые токены с тем же названием (USDT), но другим адресом контракта — жертва видит «знакомое» название; транзакции на 0 токенов через функцию transferFrom; суммы в несколько центов в нативной валюте сети. Атака масштабируется: боты автоматически отслеживают исходящие транзакции и отправляют отравляющую транзакцию в том же или следующем блоке.

Насколько распространена эта атака и каковы задокументированные потери?

Address poisoning стал одной из наиболее масштабных атак 2024–2025 годов. Наиболее резонансный случай: в мае 2024 года трейдер потерял около 68 миллионов долларов в wrapped Bitcoin (WBTC), скопировав отравленный адрес из истории транзакций MetaMask. Атаки зафиксированы во всех EVM-сетях: Ethereum, BNB Chain, Polygon, Arbitrum, Base. Общие потери от address poisoning в 2024 году по оценкам блокчейн-аналитиков исчислялись сотнями миллионов долларов. Средства после таких атак не возвращаются — блокчейн-транзакции необратимы.

Как адрес-ловушка проходит через фильтры безопасности бирж и кошельков?

Поддельный адрес не является вредоносным с технической точки зрения — это обычный Ethereum-адрес, которому просто принадлежит злоумышленник. Никаких признаков вредоносности, которые мог бы обнаружить автоматический фильтр, нет. Транзакция с этого адреса полностью валидна. Некоторые кошельки (MetaMask в обновлениях 2024–2025 годов) добавили предупреждения о потенциально подозрительных адресах в истории, но покрытие неполное. Главный фильтр безопасности — внимательность самого пользователя при верификации полного адреса.

Источник: ЦБ РФ

Как правильно скопировать адрес получателя, чтобы не попасть в ловушку?

Единственное надёжное правило: никогда не копировать адрес из истории транзакций в кошельке или эксплорере для повторной отправки. Источники для копирования адреса в порядке надёжности: адресная книга вашего кошелька с сохранёнными именованными адресами; оригинальное сообщение или письмо от получателя; официальный сайт сервиса. При любом сомнении — откройте источник заново и скопируйте оттуда. После вставки: сверьте все 42 символа с оригиналом, а не только начало и конец.

Источник: ЦБ РФ

Предупреждает ли Etherscan об отравляющих транзакциях?

Etherscan не имеет механизма автоматической блокировки или обязательного предупреждения для каждой потенциально отравляющей транзакции. В 2024–2025 годах сервис добавил ряд меток для известных мошеннических адресов, но покрытие неполное — новые адреса злоумышленников не попадают в базу мгновенно. Полагаться на Etherscan как на защиту недостаточно.

Эксклюзив от ИнвестХомяка

Как выглядит address poisoning в интерфейсе: ключевые признаки

Что вы видитеЛегитимная транзакцияОтравляющая транзакция
СуммаРеальная, смысловая0 или доли цента / фейковые токены
ОтправительИзвестный вам адресНезнакомый адрес с похожими крайними символами
Время появленияКогда вы ожидалиСразу после вашей исходящей транзакции
Полный адрес при раскрытииСовпадает с сохранённымОтличается в средних символах

Копирование адреса из истории Etherscan против адресной книги кошелька

КритерийКопирование из истории EtherscanАдресная книга кошелька
Риск address poisoningВысокий — именно цель атакиОтсутствует при корректном сохранении
УдобствоБыстро (один клик)Требует предварительной настройки
Проверка подлинностиТребует ручной сверки всех 42 символовИмя получателя видно до отправки
Рекомендуется для регулярных переводовНетДа
Защита при спешкеОтсутствуетВысокая

Как распознать отравляющую транзакцию и защитить адресную книгу

  1. Никогда не копируйте адрес из истории транзакций

    Установите для себя абсолютное правило: история операций в Etherscan, кошельке или эксплорере — только для просмотра. Для повторной отправки всегда возвращайтесь к первоисточнику адреса.

  2. Проверяйте полный адрес, а не только крайние символы

    После вставки адреса раскройте его полностью и сверьте все 42 символа с оригиналом. Большинство кошельков позволяют скопировать полный адрес для сравнения. Этот шаг занимает 20–30 секунд и полностью исключает атаку.

  3. Сохраните все регулярно используемые адреса в адресную книгу

    В MetaMask, Trust Wallet и большинстве кошельков есть адресная книга с именованными контактами. Внесите туда все адреса: биржи, собственные кошельки, регулярные получатели. При отправке выбирайте из книги, а не вводите вручную.

  4. При крупных переводах отправьте тестовую транзакцию

    Для переводов свыше установленного вами порога (например, от 50 000 руб. эквивалента) — сначала отправьте минимальную сумму, дождитесь подтверждения и убедитесь в получении. Стоимость теста несопоставима с возможными потерями.

  5. Используйте аппаратный кошелёк для верификации адреса

    Hardware wallet отображает полный адрес получателя на защищённом экране устройства. Сверяйте адрес именно там — не на мониторе компьютера. Физическое подтверждение транзакции добавляет критический барьер перед отправкой.

Частые вопросы

Предупреждает ли Etherscan об отравляющих транзакциях?

Etherscan не имеет механизма автоматической блокировки или обязательного предупреждения для каждой потенциально отравляющей транзакции. В 2024–2025 годах сервис добавил ряд меток для известных мошеннических адресов, но покрытие неполное — новые адреса злоумышленников не попадают в базу мгновенно. Полагаться на Etherscan как на защиту недостаточно.

Можно ли пожаловаться на мошеннический адрес в Etherscan?

Да, Etherscan принимает репорты о мошеннических адресах через форму на сайте. После проверки адрес может получить метку «Phishing» или «Scam». Это предупредит других пользователей, но не поможет вернуть уже отправленные средства — блокчейн-транзакции необратимы.

Работает ли атака в других сетях помимо Ethereum?

Да. Address poisoning задокументирован в BNB Chain, Polygon, Arbitrum, Base, Avalanche и других EVM-совместимых сетях. Механика идентична: те же 42-символьные адреса, те же инструменты генерации. В сетях с другим форматом адресов (Solana, TON) атака технически сложнее, но концептуально применима.

Влияет ли потеря средств от address poisoning на налоговые обязательства в РФ?

Нет — налоговые обязательства по прибыльным операциям до потери остаются в силе. Потеря средств вследствие мошенничества не уменьшает налоговую базу автоматически. Доход от продажи или обмена крипто облагается НДФЛ 13–15% вне зависимости от последующих потерь. Рекомендуется документировать факт мошенничества (заявление в МВД) для возможного использования в налоговых спорах.

Защищает ли ENS-домен (name.eth) от address poisoning?

Частично. Если вы отправляете на ENS-имя, а не на сырой адрес — вы не копируете адрес из истории, что исключает прямую атаку. Однако нужно убедиться, что ENS-имя разрешается в правильный адрес — кошелёк показывает это перед подтверждением. Риск опечатки в самом ENS-имени или компрометации резолвера исключать нельзя.

Похожие материалы

Источники