Yksittäinen sijoittaja menetti 50 miljoonaa dollaria ovelassa huijauksessa

Kryptovaluuttamarkkinoilla nähtiin viikonloppuna yksi vuoden suurimmista yksittäisistä menetyksistä, kun sijoittaja menetti lähes 50 miljoonaa dollaria niin kutsutussa ”osoitteen myrkytyksessä” (address poisoning). Varat siirrettiin salamannopeasti sekoituspalveluun, ja uhri on tarjonnut hyökkääjälle miljoonapalkkiota varojen palauttamisesta.

Tapahtumien kulku

Lauantaina 20.12.2025, noin kello 05.32 (Europe/Helsinki), tuntematon kryptovaluuttasijoittaja menetti 49 999 950 USDT-vakaavaluuttaa yhdellä virheellisellä siirrolla. Lohkoketjudatan analyysialustat, kuten Lookonchain ja SlowMist, havaitsivat tapahtuman, jossa varat siirtyivät uhrin lompakosta huijarin hallinnoimaan osoitteeseen.

Tapahtumaketju alkoi, kun uhri nosti varoja Binance-pörssistä omaan lompakkoonsa. Turvallisuuskäytäntöjä noudattaen sijoittaja teki ensin pienen, 50 USDT:n testisiirron varmistaakseen osoitteen oikeellisuuden. Tämä testisiirto onnistui moitteettomasti kello 05.06.

Vain hetkeä myöhemmin hyökkääjä iski. Hyödyntäen automatisoitua bottia, huijari loi lompakko-osoitteen, joka muistutti erehdyttävästi uhrin omaa osoitetta. Tämän jälkeen huijari lähetti uhrin lompakkoon olemattoman pienen summan (”dust transaction”) tästä väärennetystä osoitteesta. Tavoitteena oli saada väärennetty osoite näkymään uhrin lompakon tapahtumahistoriassa ylimmäisenä.

Kun uhri noin puoli tuntia myöhemmin, kello 05.32, päätti siirtää varsinaisen pääoman (n. 50 miljoonaa dollaria), hän kopioi vastaanottajaosoitteen suoraan tapahtumahistoriastaan tarkistamatta sitä huolellisesti. Hän valitsi vahingossa huijarin ”myrkyttämän” osoitteen, ja varat menetettiin.

Miten ”osoitteen myrkytys” toimii?

Osoitteen myrkytys (address poisoning) on hyökkäysmuoto, joka hyödyntää ihmisen taipumusta kognitiiviseen oikaisuun. Kryptovaluuttaosoitteet ovat pitkiä merkkijonoja, ja lompakkosovellukset näyttävät niistä usein vain alun ja lopun (esim. 0x123...abc).

Huijarit luovat osoitteita, joissa on täsmälleen samat alku- ja loppumerkit kuin uhrin oikeassa osoitteessa. Koska koko osoitetta on vaikea muistaa ulkoa, käyttäjä tarkistaa usein vain nämä näkyvät merkit. Jos käyttäjä on tottunut kopioimaan osoitteet suoraan ”viimeisimmät tapahtumat” -listalta, riski valita väärä osoite on huomattava.

Tässä tapauksessa hyökkääjän luoma osoite vastasi uhrin osoitetta useiden merkkien osalta sekä alussa että lopussa, mikä teki huijauksesta vaikeasti havaittavan ilman tarkkaa syyniä.

Miten suojautua osoitteen myrkytykseltä?

Tietoturva-asiantuntijoiden mukaan tehokkain tapa suojautua osoitteen myrkytykseltä on luopua tavasta kopioida vastaanottajan osoite suoraan lompakon tapahtumahistoriasta. Hyökkäysmekanismi hyödyntää nimenomaan käyttäjien tottumusta valita listan viimeisin tapahtuma olettaen sen olevan turvallinen. Turvallisin toimintatapa on kopioida osoite aina alkuperäisestä, varmistetusta lähteestä tai käyttää lompakkosovellusten ja pörssien tarjoamia osoitekirjoja (whitelist), joihin luotetut osoitteet on tallennettu ja varmistettu etukäteen.

Lisäksi osoitteiden tarkistamisessa ei tulisi koskaan luottaa pelkästään osoitteen alku- ja loppupäähän. Nykyaikaisella laskentateholla huijarit pystyvät generoimaan sekunneissa osoitteita, jotka täsmäävät uhrin osoitteen kanssa useiden merkkien osalta molemmista päistä. Ennen siirron vahvistamista erityisesti käytettäessä suuria summia on kriittistä tarkistaa koko osoite, että kyseessä on todella haluttu lompakko.

Varat pestiin Tornado Cashin kautta

Heti varojen saapumisen jälkeen hyökkääjä toimi nopeasti estääkseen varojen jäädyttämisen. Koska USDT (Tether) on keskitetysti hallinnoitu vakaavaluutta, sen liikkeeseenlaskija Tether Limited olisi voinut jäädyttää varat, jos siihen olisi reagoitu välittömästi.

Analyytikoiden mukaan hyökkääjä vaihtoi varastetut USDT:t lähes välittömästi DAI-vakaavaluuttaan, jota ei voida jäädyttää keskitetysti. Tämän jälkeen varat vaihdettiin Ethereumiin (ETH). Lopuksi noin 16 680 ETH siirrettiin Tornado Cash -sekoituspalveluun, joka on suunniteltu katkaisemaan varojen jäljitettävyys lohkoketjussa. Tämä tekee varojen takaisin saamisesta teknisesti erittäin haastavaa.

Epätoivoinen viesti ja palkkio

Tapahtuman jälkeen uhri lähetti lohkoketjun kautta viestin hyökkääjälle. Viestissä hän tarjosi miljoonan dollarin palkkiota (”whitehat bounty”), mikäli hyökkääjä palauttaisi 98 prosenttia varastetuista varoista.

Vastaavia tapauksia on nähty aiemminkin. Esimerkiksi toukokuussa 2024 eräs sijoittaja menetti 71 miljoonaa dollaria vastaavassa hyökkäyksessä, mutta onnistui neuvottelemaan varat takaisin kyberturvallisuusyhtiöiden avustuksella. Tällä kertaa varojen nopea siirto Tornado Cashiin viittaa kuitenkin siihen, että hyökkääjällä ei välttämättä ole aikomusta neuvotella.

Vastuuvapauslauseke: Tämä artikkeli on tarkoitettu vain tiedotustarkoituksiin. Sitä ei tarjota tai ole tarkoitettu käytettäväksi oikeudellisena, verotuksellisena, sijoitus-, rahoitus- tai muuna neuvona.
Kryptouutiset.net ei vastaa kaupallisen tiedotteen sisällöstä.

Coinmotion kutsukoodi on qayp1ovzrbk5r1kep1lk jolla saat -50% kaupankäyntikuluista 1kk ajaksi