Шахрайство з отруєнням: як це працює та як цього уникнути
Уявіть собі, що ви надсилаєте криптовалюту так, як ви це робите зазвичай. Ви відкриваєте свій гаманець, переглядаєте історію транзакцій, копіюєте адресу, яку використовували десятки разів, вставляєте її та натискаєте «Надіслати». Переказ підтверджується за лічені секунди. Єдина проблема полягає в тому, що гроші щойно потрапили до незнайомця, який витратив величезну обчислювальну потужність, щоб створити адресу, яка виглядає майже ідентично як ваша, і блокчейн зробив саме те, що ви йому сказали. Це, одним словом, отруєння адрес: жодних вкрадених ключів, жодного шкідливого програмного забезпечення, лише фальшива версія вас, вбудована у ваші власні записи. У цьому посібнику пояснюється, як працює шахрайство, три його форми, скільки люди насправді втрачають, і кілька звичок, які зупиняють шахрайство з отруєнням адрес, перш ніж ви надішлете кошти не туди, куди треба.
Що насправді таке отруєння адресами
Отруєння адрес – це фішингова атака, спрямована на вашу пам’ять та екран, а не на криптографію, що лежить в основі. Ваші приватні ключі ніколи не чіпаються. Нічого не витрачається, не розшифровується і не зламується. Натомість шахрайство спирається на одну ліниву людську звичку: адреса блокчейну – це довгий, нечитабельний набір літер і цифр (щось на кшталт 0x4a3f...c91d), і майже ніхто не читає його повністю. Ми перевіряємо перші чотири символи, перевіряємо останні чотири, знизуємо плечима і йдемо далі.
У цьому знизуванні плечима і полягає вся вразливість. Створіть адресу, яка містить ці видимі символи, покажіть її комусь, хто їй вже довіряє, і у вас є непоганий шанс випадково отримати платіж. Найжорстокіше те, що буде далі. Перекази всередині блокчейна є остаточними, тому не потрібно телефонувати в банк і не стягувати плату за повернення коштів; щойно ви підтверджуєте, гроші належать комусь іншому. Страхування та повернення платежів, системи безпеки, які рятують людей у традиційних фінансах, тут просто не існують. Отруєння адрес не порушує блокчейн. Воно припиняє вашу увагу, а потім дозволяє блокчейну робити саме те, що пропустила ваша увага.
Як працює отруєння адрес у криптовалюті
Хоча результат здається магічним, механізм є буденним. Успішна атака отруєння адрес виконується у три кроки, які може відтворити будь-хто, хто вивчає ланцюжок.
Крок 1: створення схожої адреси
Спочатку зловмисник вибирає ціль, зазвичай адресу, за якою часто переказують гроші, а потім запускає генератор невизначених адрес. Програмне забезпечення перебирає пари ключів-кандидатів, доки не знайде ту, чия адреса починається та закінчується тими ж символами, що й адреса, на яку жертва регулярно надсилає повідомлення. Зіставлення кількох символів є дешевим, що є найнезручнішою частиною: після того, як оновлення Fusaka для Ethereum знизило комісії, один аналіз виявив, що зловмисники розгорнули три мільйони переказів dust на загальну суму приблизно 5175 доларів. За такими цінами отруєння функціонує як фабрика, а не як пограбування.
Крок 2: отруєння історії ваших транзакцій
Далі зловмисник вставляє цю схожу адресу у ваші записи, тож вона виглядає так, ніби ви вже мали справу раніше. Вони можуть надіслати вам невелику кількість справжнього токена, або ініціювати переказ з нульовою вартістю, або ж проштовхнути вам підроблений токен. Як би це не було зроблено, мета однакова: змусити підроблену адресу розміститися у вашій історії поруч зі справжньою, використовуючи ті самі імена та прізвища.
Крок 3: пастка копіювання-вставки
Потім вони чекають. Наступного разу, коли ви збираєтеся платити своєму звичному одержувачу, ви для зручності копіюєте адресу безпосередньо з історії останніх транзакцій. Видимі символи збігаються, нічого не виглядає дивним, і ви надсилаєте. Робіть це на автопілоті, і ви можете випадково надіслати токени на схожу адресу, а не на ту, яку ви мали на увазі. Блокчейн виконує переказ правильно, тільки не тій особі. Ось чому отруєння адрес іноді називають пасткою копіювання та вставки, і чому воно працює як на обережних, досвідчених користувачів, так і на новачків. Що робить його таким ефективним, так це час — запис про отруєння часто прослизає протягом кількох хвилин після реальної транзакції, тому фальшива адреса знаходиться саме там, де ви очікуєте справжню. Ви не стільки недбалі, скільки ефективні, а ефективність — це саме те, на що розраховує зловмисник.
Три типи отруєння адрес
Академічне дослідження, проведене Карнегі-Меллонським університетом у 2025 році, розділило реальні атаки на три форми. Вони відрізняються тим, як встановлюється фальшива адреса, що змінює те, чому ви повинні не довіряти у своїй історії.
| Тип | Як встановлюється фальшива адреса | Розповідь |
|---|---|---|
| Перенесення крихітних частинок (пилу) | Реальна, але мізерна сума токенів, надіслана з адреси, що здавалася схожою | Незначна, неочікувано надійде сума |
| Переказ нульової вартості | Передача токенів "0", яка все ще фіксує подію Передачі у вашій історії | Показує вашу власну адресу як адресу відправника, значення 0 |
| Підроблений токен | Підроблений контракт, що імітує справжній токен (підроблений USDT або USDC) | Назва токена виглядає правильною, адреса контракту — ні |
З цих трьох варіантів, переказ нульової вартості – це варіант отруєння адрес, який найбільше бентежить людей, оскільки може здаватися, що він надходить з вашої власної адреси. Це можливо тому, що деякі контракти токенів дозволяють будь-кому ініціювати подію "Переказ" для нуля токенів без дозволу власника, тому зловмисник створює запис, який ваш гаманець точно відображає. Історично склалося так, що BNB Smart Chain зазнав набагато більше спроб, ніж Ethereum, завдяки нижчим комісіям, але зниження комісії Fusaka змінило це, перенісши основну частину активності на Ethereum.
Скільки грошей викрадено через отруєння
Отруєння адрес звучить як помилка округлення, поки не підсумуєш все. Цифри нижче навмисно датовані, оскільки в цьому куточку криптовалют цифри змінюються швидко, а підсумки минулого року сильно занижують проблему.
| Справа або міра | Сума | Коли | Результат |
|---|---|---|---|
| Дослідження Карнегі-Меллон / USENIX (ETH + BSC) | 270 млн спроб, 83,8 млн доларів програшів, 17 млн жертв | Липень 2022 – червень 2024 | Найбільше дослідження на сьогодні |
| Загорнутий біткойн-кит | ~$68 млн. відправлено двійнику | Травень 2024 року | Кошти повернуто; зловмисник заробив ~1,49 млн доларів США |
| Одинока жертва USDT | 49,9 млн доларів США | Грудень 2025 року | Відмито через Tornado Cash |
| Збитки Ethereum (ScamSniffer) | 62 мільйони доларів | Грудень 2025 – січень 2026 | Загалом за два місяці |
Варто зупинитися на кількох із цих випадків. Жертва, яка втратила близько 68 мільйонів доларів у травні 2024 року , фактично отримала кошти назад, оскільки зловмисник (після відмивання грошей та переговорів) повернув основну суму та отримав приблизно 1,49 мільйона доларів; пізніше слідчі пов'язали цю єдину кампанію з 82 031 підробленою адресою. Майже нікому так не щастить. Жертва USDT вартістю 49,9 мільйона доларів у грудні 2025 року побачила, як гроші зникли прямо в Tornado Cash, без жодного повернення та жодного відшкодування.
Ця тенденція є справді тривожною. Після оновлення Fusaka, яке знизило комісії Ethereum, щомісячна кількість спроб отруєння в мережі зросла більш ніж у п'ять разів, а в січні 2026 року Citi повідомила , що рекорд Ethereum у 2,8 мільйона транзакцій на день був зумовлений переважно отруйним спамом, а не реальним економічним використанням. На початок 2026 галузеві оцінки сукупних збитків досягли близько півмільярда доларів. Мене непокоїть не хитрість шахрайства, а його ціна: кілька тисяч доларів комісії купують мільйони спроб, і зловмиснику потрібна лише одна з них, щоб вдатися.
Отруєння проти підміни проти отруєння IP-адрес
Слово «отруєння» розтягується на дуже різні атаки, тому їх корисно розділяти. Отруєння адрес, про яке йдеться тут, — це крипто-шахрайство, яке вбудовує схожу адресу у вашу історію. Підробка адреси є ширшим поняттям і зазвичай означає підробку очевидного відправника повідомлення або транзакції, щоб видати себе за когось іншого. А «отруєння IP», яке люди іноді шукають помилково, стосується мережевих атак, таких як отруєння ARP або DNS-кешу, які не мають нічого спільного з криптогаманцями . Той самий дієслово, три непов’язані світи.
Як захистити себе від отруєння адрес
Майже кожен захист від отруєння адрес зводиться до одного правила: ніколи не довіряйте власній історії транзакцій і ніколи не копіюйте адреси безпосередньо з неї. Фальшива адреса знаходиться там саме тому, що саме туди ви шукаєте. Виробіть кілька звичок навколо цієї ідеї, і атака здебільшого перестане працювати.
Перевіряйте повну адресу, ніколи не ім'я та прізвище
Перевірте весь рядок або принаймні значний шматок від середини, а також кінці. Зловмисник може легко зіставити перші та останні кілька символів, але зіставити довгий рядок через середину набагато складніше. Більшість сучасних гаманців дотримуються стандарту контрольної суми EIP-55, а новіші конвенції відображення виділяють більше адреси, тому невідповідності легше виявити.
Використовуйте адресну книгу, ніколи не копіюйте з історії
Зберігайте адресу кожного одержувача один раз, після того, як ви перевірили її з надійного джерела, і відтоді надсилайте з цього збереженого контакту, замість того, щоб копіювати адреси з останніх транзакцій. Гаманці, такі як MetaMask, називають це Контактами; принцип однаковий скрізь. Збережений запис не може бути пошкоджений вхідним переказом, у цьому вся суть.
Тестові транзакції, екрани обладнання та списки дозволених виплат
Для будь-чого великого надішліть спочатку невелику тестову суму та перевірте правильність адреси одержувача, перш ніж надсилати решту; кілька центів комісії – це дешева страховка від семизначної помилки. Апаратні гаманці також допомагають тут, оскільки вони показують справжнього адресата на окремому екрані, який шкідливе програмне забезпечення на вашому комп’ютері не може непомітно переписати. Компанії, які часто здійснюють крипто-виплати, особливо вразливі, оскільки вони копіюють та вставляють адреси цілий день і часто делегують це завдання співробітникам, які, можливо, ніколи не чули про отруєння, тому блокування виплат до попередньо затвердженого білого списку (фіксований набір перевірених місць призначення, від яких система не відхилятиметься) повністю усуває момент людської помилки. Якщо ви приймаєте крипто-платежі через шлюз, перевірте, чи він уже закріплює адреси для виведення саме з цієї причини.
Що роблять гаманці та біржі
Інструменти наздоганяють, хоча жоден з них не замінює вищезгаданих звичок. Дослідники блоків, такі як Etherscan, тепер приховують або позначають перекази з нульовою вартістю, щоб вони не захаращували вашу історію. Ledger Live та Trezor Suite фільтрують підозрілі записи, а в березні 2026 року Trust Wallet розгорнув автоматичний захист від отруєння адрес у 32 ланцюжках . Централізовані біржі несуть власну версію ризику, оскільки користувачі повторно використовують ту саму адресу депозиту, тому отруєний запис там може бути таким же дорогим. Ніщо з цього також не є бездоганним — рішучий зловмисник все ще може прослизнути повз фільтр, який ще не стикався з ним, — тому інструменти купують вам маржу, а не імунітет. Ставтеся до кожної з цих функцій як до сітки безпеки, розтягнутої під вашою власною обережністю, а не як до її заміни.
Хто стає мішенню, і який висновок
Хочеться припустити, що на це потрапляють лише недбалі новачки, але дані свідчать про протилежне. Найбільших збитків зазнають активні, досвідчені відправники та компанії, саме ті люди, які часто переказують кошти та навчилися швидко вставляти дані, не замислюючись. Отруєння адресами — це дешева справа, остаточна, коли вона спрацьовує, і повністю побудована на звичці, яку поділяє майже кожен з нас, що робить її такою стійкою шахрайською схемою. Усвідомлення — це справді більша частина ліків тут, тому що як тільки ви знаєте про існування пастки, один лише акт перевірки повної адреси знешкоджує її. Справжнє питання не в тому, чи розумієте ви шахрайство. Питання в тому, чи ви все ще підозрюєте його о другій годині ночі, на своєму телефоні, платячи комусь, кому ви платили сто разів раніше.
