К основному содержанию
T TON Adoption
EN
← Словарь
NODE/03 · Term

Address poisoning

Атака, при которой злоумышленник создаёт адрес, похожий на знакомый адрес жертвы, и отправляет на её кошелёк микро-транзакцию. Цель — чтобы жертва скопировала фейковый адрес из истории и отправила средства не туда.

Синонимы: отравление адресов, адресное отравление, lookalike address attack

Address poisoning — это атака на привычку пользователя копировать адреса из истории транзакций. Атакующий генерирует адрес TON, у которого первые и последние символы совпадают с настоящим адресом, которым пользуется жертва (например, её собственный второй кошелёк или адрес биржи). Затем отправляет туда крошечную сумму TON или jetton-«пыли». Адрес появляется в истории Tonscan, Tonkeeper, MyTonWallet — рядом с настоящим.

В следующий раз, когда пользователь хочет отправить средства на «свой» адрес, он копирует из истории — и попадает на адрес атакующего.

Почему работает

Адреса TON в формате EQ… или UQ… имеют 48 символов. Большинство интерфейсов показывают сокращённую форму — первые 4-6 и последние 4-6: EQAB…f9DG. Если злоумышленник нагенерил адрес с теми же шестью первыми и последними символами, визуально он выглядит идентично настоящему. Полный адрес отличается, но никто не сверяет 48 символов целиком.

Генерация совпадающих префиксов и суффиксов — это «vanity-mining» через перебор seed-фраз. Шесть символов (~36 бит) подбираются за часы на современных GPU.

Как распознать

  • Незнакомая микро-транзакция в истории. Получение 0.001 TON или 0.00001 jetton-а от адреса, очень похожего на ваш собственный — повод насторожиться.
  • Двойник в списке. В истории видно два очень похожих адреса. Один из них — фейк.
  • Адрес «кочует» вверх. Атакующий специально шлёт пыль регулярно, чтобы фейковый адрес был свежим в истории.

Защита

  • Никогда не копируйте адрес из истории транзакций. Это золотое правило. Адреса для регулярных переводов сохраните в адресной книге кошелька — Tonkeeper и MyTonWallet это позволяют.
  • Сверяйте полностью. При вводе крупного перевода прочитайте все 48 символов или хотя бы первые 8 и последние 8.
  • Используйте .ton-домены. Адрес вида mywallet.ton подделать сложнее — он короче и читается целиком.
  • Hardware-кошелёк. Ledger показывает адрес получателя на собственном экране — это позволяет «увидеть, что подписываешь», но всё равно нужно сверять.
  • TON Connect-сайты с label. При работе с DEX или маркетплейсом домен и тип транзакции виден заранее.

Address poisoning особенно опасен для пользователей, которые регулярно ходят между несколькими своими кошельками — они привыкли копировать адрес быстро и без сверки.

См. также