#EthereumWarnsonAddressPoisoning A $50M Verlust zeigt einen systemischen Sicherheitsfehler im Wallet-UX und der Adresseverifizierung auf

Ein kürzliches $50 Millionen USDT Adressevergiftungsbetrug auf Ethereum hat eine der gefährlichsten Sicherheitslücken aufgezeigt, mit denen Krypto-Nutzer und -Institutionen konfrontiert sind. Bei diesem Vorfall wurde eine große Überweisung, die für eine bekannte Wallet bestimmt war, versehentlich an eine ähnlich aussehende Adresse gesendet, die durch kleine, sorgfältig gestaltete Staubtransaktionen in die Transaktionshistorie des Opfers "vergiftet" wurde. Der Angreifer erzeugte eine Wallet-Adresse, die die gleichen ersten und letzten Zeichen wie der beabsichtigte Empfänger hatte, und nutzte die gängige Praxis, Adressen zur Anzeige zu truncieren. In dem Glauben, dass die abgekürzte Form in ihrer jüngsten Historie korrekt war, kopierte das Opfer die Adresse, ohne die mittleren Zeichen zu überprüfen, und sendete fast $50 Millionen an die Wallet des Betrügers.
Address-Poisoning ist kein Randfall. Es ist ein skalierbarer Angriffsvektor. Forschungen zeigen, dass Angreifer Millionen von ähnlichen Adressen auf Ethereum und anderen EVM-kompatiblen Chains generieren können, was zu erheblichen finanziellen Verlusten führt und Tausende von Nutzern betrifft. Diese Angriffe nutzen die Gewohnheit von Wallets aus, die mittleren Zeichen von Adressen zu verbergen und gefälschte Adressen in Transaktionshistorien einzuschleusen, wodurch Nutzer anfällig für scheinbar geringfügige Fehler mit katastrophalen Folgen werden.
Viele beliebte Wallets versäumen es, Benutzer angemessen vor verdächtigen oder visuell ähnlichen Adressen zu warnen. Bewertungen von über 50 Ethereum Wallets haben ergeben, dass nur ein kleiner Bruchteil effektive Warnungen implementiert, wodurch die meisten Benutzer Angriffen ausgesetzt sind, die visuelle Ähnlichkeit ausnutzen. Selbst erfahrene Betreiber können durch diesen vorhersehbaren Fehlermodus getäuscht werden, was zeigt, dass die Hauptursache nicht die Nachlässigkeit der Benutzer, sondern Designfehler in der Wallet-UX sind.
Im aktuellen Fall $50M führte das Opfer eine erste kleine Testüberweisung durch, wie für hochpreisige Transaktionen empfohlen. Minuten später ging jedoch eine größere Überweisung an die bösartige Adresse, die in die Wallet-Historie eingefügt worden war. Innerhalb von dreißig Minuten tauschte der Angreifer den gestohlenen USDT in andere Token um und leitete die Gelder durch Mixer, wodurch die gestohlenen Vermögenswerte effektiv gewaschen wurden. Dies zeigt, wie schnell und effizient Angreifer kleine UX-Schwächen ausnutzen können.
Das systemische Problem liegt im Design von Wallets. Die meisten Wallets zeigen Adressen wie "0x1234…ABCD" an, was die Benutzer implizit dazu trainiert, nur sichtbare Segmente zu überprüfen. Angreifer nutzen dies aus, indem sie Adressen mit identischen Präfixen und Suffixen generieren, wodurch Unterschiede im versteckten Mittelteil nahezu unsichtbar werden. Das Problem wird verschärft, da Angreifer GPU-beschleunigte Werkzeuge verwenden, um Tausende von ähnlichen Adressen zu erzeugen und diese in die Benutzerhistorien einzuspeisen, wodurch alltägliche Wallet-Interaktionen zu Waffen werden.
Die Minderung erfordert sowohl Änderungen auf Wallet-Ebene als auch disziplinierte Betriebspraktiken. Wallet-UIs sollten standardmäßig vollständige Adressen anzeigen und visuelle Unterschiede hervorheben, wenn eine Adresse eingefügt oder ausgewählt wird. Heuristiken sollten nahe Übereinstimmungen mit bekannten Kontakten kennzeichnen, und es müssen klare Warnungen ausgegeben werden, wenn eine neue oder visuell ähnliche Adresse verwendet wird. Menschlich lesbare Benennungssysteme wie Ethereum Name Service (ENS) können helfen, aber nur wenn die aufgelösten Adressen zusammen mit dem Namen angezeigt und über vertrauenswürdige Kanäle verifiziert werden.
Für hochwertige Nutzer, DAOs und Treasury-Manager ist operative Disziplin jetzt unerlässlich. Zu den besten Praktiken gehören das manuelle Überprüfen der vollständigen Adresse vor der Genehmigung von Überweisungen, das Vermeiden des Kopierens von Adressen aus der Wallet-Historie, das Durchführen von Testtransaktionen mit separaten Bestätigungen über sichere Kanäle, das Führen von sicheren Adressgenehmigungen und das Durchsetzen von Multi-Signatur-Genehmigungen für bedeutende oder erstmalige Empfänger. Fortgeschrittene Unternehmen können auch On-Chain-Überwachungen einsetzen, um ähnlich aussehende Adressen oder verdächtige Dust-Transaktionen zu erkennen.
Die umfassendere Lektion ist klar: UX-Entscheidungen, die Bequemlichkeit über Sicherheit priorisieren, schaffen vorhersehbare Angriffsvektoren in feindlichen Umgebungen. Was einst als akzeptables Wallet-Design galt, birgt jetzt erhebliche Risiken, insbesondere da Angreifer immer raffinierter werden und die institutionelle Akzeptanz wächst. Die Anzeige und Verifizierung von Adressen müssen als kritische Sicherheitsoberflächen und nicht als kosmetische Elemente behandelt werden. Bis Wallets, Benennungssysteme und betriebliche Praktiken mit dieser Realität übereinstimmen, wird Phishing mit ähnlichen Adressen eine der effizientesten und verheerendsten Formen des Diebstahls im Krypto-Bereich bleiben.