Как не отправить крипто на поддельный адрес: clipboard hijacker и address poisoning

Address poisoning — атака, при которой злоумышленник отправляет жертве небольшую транзакцию (часто 0 токенов или минимальную сумму) с адреса, у которого совпадают первые и последние несколько символов с адресом, который жертва регулярно использует. Цель — попасть в историю транзакций кошелька. Когда жертва в следующий раз ищет нужный адрес в истории и копирует его «по памяти» — она копирует поддельный. Clipboard hijacker действует иначе: подменяет адрес в момент копирования через заражённое устройство. Обе атаки приводят к одному результату — отправке средств мошеннику.

Для создания «похожих» адресов используется перебор (brute force) или специализированные генераторы ванити-адресов. Ethereum-адрес состоит из 42 символов (0x + 40 hex-символов). Совпадение первых 4 и последних 4 символов достигается перебором за минуты на современном GPU. Большинство интерфейсов кошельков отображают именно сокращённую версию адреса — первые и последние символы — что делает атаку высокоэффективной. Пользователь видит «0x1a3f...d92e» и не замечает, что средние 34 символа полностью отличаются от оригинала.

Address poisoning наиболее распространён в EVM-совместимых сетях: Ethereum, BNB Chain, Polygon, Arbitrum, Base и других. Атаки концентрируются на адресах, которые регулярно отправляют крупные суммы — их легко отследить on-chain. Особенно уязвимы пользователи, работающие с USDT и USDC: стейблкоины часто переводятся повторно на одни и те же адреса, что создаёт предсказуемую историю транзакций. В Bitcoin атака технически сложнее из-за формата адресов, но не исключена. Риск потери ключей и депег стейблкоина — дополнительные независимые риски работы с этими активами.

Большинство пользователей при повторной отправке средств открывают историю транзакций в кошельке или на блокчейн-эксплорере и копируют адрес оттуда, не вводя его заново. Именно на это рассчитывает злоумышленник: он заранее «отравляет» историю, отправив транзакцию с похожего адреса. В Etherscan и других эксплорерах входящие транзакции от незнакомых адресов отображаются в общей истории наравне с легитимными. Без привычки проверять полный адрес — а не только первые и последние символы — атака работает незаметно.

Публично задокументированные случаи: в 2024 году трейдер потерял около 68 миллионов долларов в WBTC, скопировав отравленный адрес из истории транзакций — один из крупнейших задокументированных случаев address poisoning. В том же году зафиксированы множественные атаки на пользователей Safe (Gnosis Safe) multisig-кошельков. Общий объём потерь от address poisoning в 2024 году оценивался аналитиками в сотни миллионов долларов по всем сетям. Все потери необратимы: блокчейн-транзакции не отменяются, а НДФЛ с предыдущих прибыльных операций в РФ подлежит уплате вне зависимости от последующих потерь.

Полная верификация: сравните каждый символ адреса с оригинальным источником — не с историей транзакций, а с тем местом, откуда вы получили адрес впервые (переписка, официальный сайт, собственные записи). При использовании аппаратного кошелька — адрес отображается на экране устройства независимо от ПК: сверяйте именно с ним. Практическое правило: никогда не копируйте адрес из истории транзакций для повторной отправки. Всегда возвращайтесь к первоисточнику. Для регулярных переводов — сохраняйте адреса в адресной книге кошелька с именем получателя.

Нет. Подтверждённая блокчейн-транзакция необратима вне зависимости от причины ошибки. Ни биржа, ни разработчики кошелька, ни блокчейн не имеют механизма принудительного возврата средств от стороннего адреса. Обращение в полицию РФ возможно, но практика возврата средств единична.