O invasor por envenenamento de endereço, que supostamente enganou um usuário ao enviar US$ 68 milhões em Wrapped Bitcoin (WBTC), enviou US$ 153.000 em Ether (ETH) de volta para a vítima em um aparente gesto de boa fé. Na mesma transação, o invasor enviou uma mensagem concordando em negociar e pedindo à vítima um nome de usuário do Telegram onde podem ser contatados. O valor enviado de volta representa apenas 0,225% dos fundos totais supostamente roubados.
Dados da blockchain mostram que em 5 de maio, a vítima do ataque, cuja conta termina em 8fD5, enviou três mensagens para uma conta que termina em dA6D. O destinatário da mensagem havia recebido fundos da conta invadida, rotulada como "FakePhishing327990" no Etherscan, por meio de várias contas intermediárias. Isso sugere que dA6D provavelmente estava sob controle do invasor.
As mensagens implicavam que a vítima estava disposta a dar ao invasor 10% dos fundos como recompensa e se abster de processar se eles devolvessem os outros 90%. A vítima declarou:
"Nós dois sabemos que não há como limpar esses fundos. Você será rastreado. Também sabemos que a frase 'durma bem' não era sobre suas qualidades morais e éticas. No entanto, oficialmente reconhecemos o seu direito aos 10%. Devolva os 90% restantes. Você tem 24 horas até as 10h UTC, 6 de maio de 2024, para tomar uma decisão que mudará sua vida, de qualquer forma."
Às 11h37 UTC de 9 de maio, outra conta terminando em 72F1 respondeu enviando 51 Ether (ETH) (no valor de US$ 153.000 pelo preço atual) para a vítima. 72F1 também havia recebido fundos de FakePhishing327990 por meio de várias contas intermediárias, indicando que também estava sob controle do invasor.
Na transação que enviou os 51 ETH, o invasor também postou uma mensagem afirmando "PleaseleaveyourtelegramandIwillcontactyou" (Por favor, deixe seu Telegram e eu entrarei em contato com você). Eles então tentaram corrigir sua má pontuação às 11h43, postando uma mensagem adicional que dizia: "Please leave your telegram and I will contact you[.]" (Por favor, deixe seu Telegram e eu entrarei em contato com você.)
Em resposta, a vítima postou um nome de usuário do Telegram onde pode ser contatada.
A negociação ocorreu depois que o invasor supostamente enganou a vítima para enviar 1.155 Wrapped Bitcoin (WBTC) (no valor de US$ 68 milhões na época) para sua conta por engano, o que eles fizeram por meio de uma transação de 'envenenamento de endereço'.
Dados da blockchain mostram que às 09h17 do dia 3 de maio, o invasor usou um contrato inteligente para transferir 0,05 de um token da conta da vítima para a conta do invasor. O token transferido não tinha nome listado no Etherscan e era simplesmente referido como "ERC-20". Em circunstâncias normais, um invasor não pode transferir um token de outro usuário sem o consentimento deles. Mas, neste caso, o token tinha um design personalizado que permitia sua transferência de uma conta sem o consentimento do usuário.
Às 10h31 do mesmo dia, a vítima enviou 1.155 WBTC para este endereço, aparentemente por engano. O endereço pode ter parecido semelhante a um endereço usado pela vítima para depositar fundos em uma exchange centralizada ou por algum outro motivo.
Além disso, a vítima pode ter visto que enviou 0,05 de um token para este endereço no passado e, portanto, assumiu que era seguro. No entanto, os 0,05 tokens foram enviados pelo invasor e apenas pareciam ter vindo da vítima.
Quando um invasor tenta confundir as vítimas enviando-lhes transações que parecem estar vindo delas, mas na verdade vêm do invasor, especialistas em segurança chamam isso de "invasão por envenenamento de endereço". Especialistas recomendam que os usuários inspecionem cuidadosamente o endereço de envio em uma transação antes de confirmá-la, para evitar erros custosos desses tipos de ataques.