W świecie kryptowalut, gdzie transakcje są nieodwracalne, błędy mogą kosztować fortunę. Niedawno, 2 grudnia 2025 roku, pewien użytkownik stracił ponad 1,1 miliona dolarów w stablecoinie USDT, padając ofiarą wyrafinowanego ataku znanego jako „address poisoning”. Incydent ten szybko obiegł media społecznościowe, w tym platformę X (dawniej Twitter), gdzie użytkownicy dzielili się ostrzeżeniami i analizami. Przyjrzyjmy się bliżej temu zdarzeniu, mechanizmowi ataku oraz sposobom, jak uniknąć podobnych pułapek.

Co wydarzyło się dokładnie?

Według informacji udostępnionych przez konto @web3_antivirus na platformie X, atak rozpoczął się od niewielkiej transakcji „dust” o wartości zaledwie 0,0015 USD. Scammer wysłał tę symboliczną kwotę do portfela ofiary, aby wprowadzić fałszywy adres do historii transakcji. Zaledwie osiem minut później, ofiara – prawdopodobnie kopiując adres z historii zamiast weryfikować go ręcznie – wysłała 1 099 516,02 USDT (równowartość około 1,1 miliona dolarów) na konto oszusta.

ROI ~733,000,000x in 8 minutes. A $0.0015 dust tx poisoned the history; minutes later $1.1M went to the fake address. That’s address poisoning. Read the full address. don’t rush.

Victim: https://t.co/64FuKzMMyu pic.twitter.com/UB83DDzVHV
— Web3 Antivirus (@web3_antivirus) December 2, 2025

Transakcja została zarejestrowana na blockchainie Ethereum. Odbiorcą tokenów USDT okazał się fałszywy portfel: 0xec6d9b6bf7a9b2e1d74. Co istotne, fałszywy adres był celowo skonstruowany tak, aby przypominał prawdziwy – z podobnymi początkowymi i końcowymi znakami, co ułatwia pomyłkę przy szybkim sprawdzaniu.

Post na X autorstwa @kkashi_yt zilustrował różnicę między adresami, podkreślając, jak łatwo można się pomylić. Użytkownik stracił fundusze w ciągu kilku minut, a zwrot z inwestycji (ROI) dla scammera wyniósł astronomiczne 733 000 000x – wszystko dzięki sprytnemu wykorzystaniu psychologii i mechanizmów blockchaina.

Someone just lost $1,100,000 by sending it to the wrong wallet after address poisoning. pic.twitter.com/0EIlI9BjTn
— Kakashi (@kkashi_yt) December 4, 2025

Czym jest address poisoning?

Address poisoning, znane również jako „zatruwanie adresu”, to rodzaj oszustwa kryptowalutowego, w którym atakujący tworzy adres portfela podobny do adresu ofiary lub jej częstych kontrahentów. Scammer monitoruje transakcje ofiary, a następnie generuje adres z identycznymi początkowymi i końcowymi znakami (np. pierwsze 4-5 i ostatnie 4-5 znaków). Następnie wysyła małą, niepozorną transakcję (tzw. dust tx), która pojawia się w historii portfela ofiary.

Gdy ofiara chce wysłać środki, często kopiuje adres z historii transakcji zamiast wprowadzać go ręcznie. Jeśli nie sprawdzi całego ciągu znaków, może skopiować fałszywy adres i przelać fundusze bezpośrednio do scammera. Ataki te są szczególnie powszechne na blockchainach takich jak Ethereum czy TRON, gdzie transakcje są publiczne i łatwe do śledzenia. W odróżnieniu od phishingu, address poisoning nie wymaga interakcji z fałszywymi stronami – wystarczy nieuwaga użytkownika.

Badania pokazują, że takie ataki stają się coraz częstsze, zwłaszcza w okresach wzrostu rynku kryptowalut, gdy użytkownicy działają pod presją czasu. Firmy takie jak Chainalysis czy Trezor regularnie ostrzegają przed nimi, podkreślając, że kluczem do bezpieczeństwa jest weryfikacja pełnego adresu.

Jak uniknąć address poisoning?

Aby nie paść ofiarą podobnego ataku, warto przestrzegać kilku prostych zasad:

Zawsze weryfikuj pełny adres: Nie polegaj na skrótach – sprawdź cały ciąg znaków przed wysłaniem środków.
Używaj narzędzi bezpieczeństwa: Rozszerzenia przeglądarkowe jak Web3 Antivirus czy portfele sprzętowe (np. Trezor, Ledger i inne) mogą wykrywać podejrzane transakcje i adresy.
Wysyłaj testowe transakcje: Przed przelaniem dużej kwoty, wyślij małą sumę i potwierdź jej dotarcie.
Unikaj kopiowania z historii: Zawsze wprowadzaj adres ręcznie lub używaj zaufanych bookmarków.
Edukuj się: Śledź wiarygodne źródła, aby być na bieżąco z nowymi zagrożeniami.

W erze kryptowalut bezpieczeństwo zależy przede wszystkim od użytkownika. Ten incydent to bolesne przypomnienie, że pośpiech i nieuwaga mogą kosztować miliony. Jeśli robisz transkacje kryptowalutami, pamiętaj: lepiej sprawdzić dwa razy, niż żałować raz.