Pagbubunyag ng mga Panganib sa Seguridad ng Ethereum
Dalawang karaniwang aksyon ng kopya-at-dikit ang nagbura ng $62 milyon sa cryptocurrency noong Disyembre at Enero, na nagbubunyag kung paano ang mga pangunahing gawi sa wallet ay nagiging isa sa pinakamalaking panganib sa seguridad ng Ethereum. Ayon sa ScamSniffer sa isang post sa X noong Pebrero 8, isang biktima ang nawalan ng humigit-kumulang $50 milyon noong Disyembre 2025 matapos magpadala ng pondo sa isang pekeng address na kinopya mula sa kanyang kasaysayan ng transaksyon. Noong Enero 2026, isang gumagamit ang nawalan ng humigit-kumulang $12.25 milyon, na katumbas ng 4,556 ETH noong panahong iyon, sa parehong pagkakamali.
“Dalawang biktima. $62M nawala,” isinulat ng kumpanya.
Ang parehong insidente ay sumunod sa parehong pattern. Ang mga pondo ay ipinadala sa mga address na kahawig na tahimik na itinanim sa mga kamakailang tala ng aktibidad ng mga biktima. Ang address poisoning ay gumagana sa pamamagitan ng pagsasamantala sa kung paano nakikipag-ugnayan ang karamihan sa mga gumagamit sa kanilang mga wallet. Ang mga umaatake ay nagmamasid sa mga transaksyon, bumubuo ng mga vanity address na kahawig ng mga tunay, at nagpapadala ng maliliit na “dust” transfers sa mga potensyal na target. Ang mga transaksyong halos zero ay naglalagay ng mga pekeng address sa mga kasaysayan ng transaksyon.
Isang tao ang nawalan ng $12.25M noong Enero sa pamamagitan ng pagkopya ng maling address mula sa kanilang kasaysayan ng transaksyon. Noong Disyembre, ang isa pang biktima ay nawalan ng $50M sa parehong paraan. Dalawang biktima. $62M nawala.
Pagtaas ng Signature Phishing
Tumaas din ang signature phishing — $6.27M ang ninakaw mula sa 4,741 na biktima (+207% kumpara sa Disyembre). Mga pangunahing kaso:
- $3.02M — ninakaw mula sa SLVon at XAUt tokens sa pamamagitan ng mapanlinlang na pahintulot at increaseAllowance approvals.
- $1.08M — kinuha mula sa aEthLBTC gamit ang katulad na mga teknika.
Ang mga pag-atake na ito ay umaasa sa mga mapanlinlang na prompt ng transaksyon na tila karaniwan. Kapag ang mga gumagamit ay pumirma sa mga ito, nakakakuha ang mga scammer ng pangmatagalang access sa mga token at maaaring ubusin ang mga pondo nang walang karagdagang pahintulot.
“Karamihan sa mga biktima ay hindi pabaya,” sinabi ng isang mananaliksik nang pribado. “Ginagawa nila ang kanilang ginawa ng daan-daang beses na bago.”
Mga Rekomendasyon para sa mga Gumagamit
Ang ScamSniffer at iba pang mga kumpanya ay nag-udyok sa mga gumagamit na:
- iwasang kopyahin ang mga address mula sa kasaysayan ng transaksyon,
- beripikahin ang buong mga string ng wallet nang manu-mano, at
- gumamit ng mga naka-save na contact para sa mga madalas na paglipat.
Habang ang mga gastos sa transaksyon ay nananatiling mababa at ang automation ay bumubuti, inaasahan ng mga analyst na ang address poisoning at signature phishing ay mananatiling patuloy na banta. Hanggang sa mas mahusay na mga tool at gawi ang magtagumpay, ang mga pangunahing operational mistakes ay malamang na patuloy na magdulot ng malalaking pagkalugi.
