ضرر 2.5 میلیون دلاری؛ دو بار قربانی فیشنگ شدن در یک روز

یک سرمایه‌گذار ارز دیجیتال در تاریخ 26 می 2025، مبلغ 2.6 میلیون دلار تتر (USDT) را از دست داد. وی در عرض سه ساعت، دو بار قربانی یک کلاهبرداری فیشینگ از طریق انتقال‌های صفرارزش (zero-value transfers) شد.

قربانی در این حمله که ابتدا 843 هزار دلار و سپس 1.75 میلیون دلار را به اشتباه به آدرس کلاهبردار ارسال کرد. این موضوع نگرانی‌های جدی را در مورد نحوه تایید آدرس‌های کیف پول در تراکنش‌های آنچین ایجاد کرده است.ض

نحوه کارکرد انتقال‌های صفر ارزش و فیشینگ آنچین

طبق گزارشی از شرکت رمزارز Cyvers، کلاهبرداران از تابعی (transferFrom) اتریوم برای ایجاد تراکنش‌هایی از کیف پول قربانی به آدرس‌های جعلی استفاده کرده‌اند، بدون اینکه نیازی به امضای کلید خصوصی یا مجوز کاربر باشد. از آنجا که این تراکنش‌ها ارزش واقعی نداشتند، به طور خودکار بدون تحریک هشدارهای امنیتی معمول به بلاک‌چین اضافه شدند.

نحوه کار کرد به این گونه است که آدرس کیف پول کلاهبردار در تاریخچه تراکنش‌های قربانی قرار می‌دهند. از آنجایی کاربرانی که آدرس را به عنوان یک تراکنش خروجی در تاریخچه خود می‌بینند، احتمال بیشتری دارد که به آن اعتماد کنند و دارایی خود را به اشتباه آدرس قبلی خود یا آدرس شناخته شده‌ای در نظر بگیرند. پس در تراکنش‌های بعدی، ممکن است آدرس جعلی را کپی و پیست کرده و ناخواسته دارایی‌های واقعی را مستقیما به کلاهبردار ارسال کنند.

انتقال‌های صفر ارزش (zero-value transfers) یک روش پیشرفته از کلاهبرداری قدیمی مسمومیت آدرس (address poisoning) محسوب می‌شوند. در مسمومیت آدرس سنتی، کلاهبرداران مقادیر ناچیزی از ارز دیجیتال را از آدرس‌هایی ارسال می‌کنند که بسیار شبیه به مخاطبین قانونی قربانی هستند (اغلب با همان کاراکترهای ابتدایی و انتهایی آدرس قربانی). کاربرانی که به تشخیص الگو یا تایید جزئی آدرس متکی هستند، احتمال بیشتری برای افتادن در دام دارند.

از دست دادن 2.6 میلیون دلار توسط یک سرمایه‌گذار باتجربه در عرض چند ساعت، نشان‌دهنده آن است که هیچ سرمایه‌گذاری در برابر این تاکتیک‌های جدید ایمن نیست و باید همیشه احتیاط کرد.