Недавний инцидент с фишингом $50M USDT, связанный с адресами Ethereum, выглядящими как оригинальные, является ярким напоминанием о том, как небольшие UX-решения могут иметь огромные финансовые последствия. В данном случае усечение адресов кошельков, показывающее только первые и последние несколько символов, упростило злоумышленникам использование человеческого доверия и распознавания шаблонов. Когда два адреса выглядят почти одинаково с первого взгляда, пользователи часто предполагают, что переводят средства на правильный адрес. Этот инцидент правильно подтолкнул сообщество Ethereum к тому, чтобы призвать провайдеров кошельков пересмотреть способы отображения и проверки адресов.

На личном уровне я считаю, что проверка полного адреса должна быть обязательной привычкой, особенно при крупных транзакциях. Хотя я понимаю, что длинные шестнадцатеричные строки трудно читать и сравнивать, полагаться только на усечённые виды или визуальное сходство рискованно. Злоумышленники знают об этом и специально создают “вакансию” или похожие адреса, имитирующие доверенные. На мой взгляд, удобство никогда не должно превосходить безопасность в финансовых системах — особенно в крипте, где транзакции необратимы.
Одна из ключевых проблем здесь — то, что люди плохо умеют вручную проверять длинные строки, и многие дизайны кошельков всё ещё полностью перекладывают эту задачу на пользователя. Здесь могут помочь лучшие инструменты. Кошельки должны по умолчанию отображать полные адреса в читаемом виде, предлагать простые функции копирования и сравнения, а также активно предупреждать пользователей, когда адрес очень похож на ранее использованный, но не совпадает полностью. Простые изменения UX, такие как выделение отличающихся символов, могут предотвратить миллионы долларов убытков.
С точки зрения профилактики, должны работать несколько уровней защиты. Во-первых, защита на уровне кошелька: отсутствие усечения по умолчанию, сильные визуальные подсказки, предупреждения о сходстве адресов и экраны подтверждения транзакций, стимулирующие внимательный просмотр. Во-вторых, важна практика пользователей. Я настоятельно советую отправлять небольшой тестовый перевод перед крупной транзакцией, сохранять проверенные адреса в закладках и никогда не доверять адресам, скопированным из чатов или соцсетей без независимой проверки.
Помимо кошельков и пользователей, в этом процессе важна роль всей экосистемы. Стандарты вроде ENS (Ethereum Name Service) могут значительно снизить зависимость от сырых адресов, при условии, что пользователи понимают, как проверять владение ENS и срок его действия. Биржи, DeFi-приложения и эмитенты стейбкоинов также должны больше инвестировать в обучение, ясно объясняя распространённые методы фишинга и укрепляя безопасные привычки при транзакциях.
На мой взгляд, главный урок этого инцидента — безопасность в крипте зависит не только от криптографии, но и от дизайна и поведения. Усечение адресов может казаться безвредным, но на практике оно создает ложное ощущение уверенности. Предотвратить подобные инциденты можно только через культурный сдвиг в сторону более медленных, осознанных рабочих процессов транзакций, поддерживаемых умными кошельками и более информированными пользователями. В среде, где один клик может перевести миллионы долларов, осторожность — это не паранойя, а профессионализм.
‍#EthereumWarnsonAddressPoisoning