הונאת הרעלת כתובות: איך העתקת כתובת שגויה עלולה לעלות לך בכל הכסף
מדריך פשוט להבנת הונאת הרעלת כתובות בארנקי קריפטו, איך היא מרמה את היסטוריית העסקאות שלך, ההבדל בינה לבין חטיפת לוח ההעתקה, ואיך להגן על הכספים שלך.
תארו לעצמכם ששלחתם USDT בעבר לחבר או לפלטפורמה מהימנה, ואז כשאתם שולחים תשלום חדש אתם מעתיקים את הכתובת מהיסטוריית העסקאות שלכם כדי לחסוך זמן. זו נראית פעולה טבעית ובטוחה, אבל בדיוק על זה מהמרים ההונאים בהונאת הרעלת כתובות ארנקים בקריפטו. הרעיון פשוט ומפחיד: התוקף שותל כתובת מזויפת בתוך ההיסטוריה שלכם, כדי שאתם עצמכם תעתיקו אותה.
במאמר הזה נסביר שלב אחר שלב איך פועלת "הרעלת היסטוריית העסקאות", נבהיר למה לעולם לא מספיק לבדוק רק את התווים הראשונים והאחרונים, ונבחין בינה לבין סוג התקפה אחר שמבלבלים אותו איתה לעיתים קרובות: חטיפת לוח ההעתקה (Clipboard Hijacking).
מהי הרעלת כתובות?
הרעלת כתובות (Address Poisoning) היא שיטת הטעיה המנצלת הרגל נפוץ אצל רוב המשתמשים: שימוש חוזר בכתובות על ידי העתקה מההיסטוריה במקום הקלדתן או אימותן בכל פעם מחדש.
כתובות ארנקים ברשתות כמו TRC20 ו-BEP20 ארוכות ומורכבות, ואף אחד לא זוכר אותן בעל פה. לכן אנשים רגילים להסתכל רק על 4 עד 5 התווים הראשונים ו-4 עד 5 התווים האחרונים, ולהניח שהכתובת נכונה אם שני הקצוות תואמים. הנוכל מכיר את ההרגל הזה היטב, ובונה עליו את כל ההתקפה.
איך פועלת התקפת הרעלת היסטוריית העסקאות?
סוג זה של התקפה לא דורש פריצה למכשיר שלכם ולא תוכנה זדונית. כל מה שהתוקף עושה קורה על הרשת עצמה, בצורה גלויה לחלוטין:
- מעקב: הנוכל עוקב אחרי ארנקים פעילים ואחרי הכתובות שהם עובדים איתן הרבה (למשל כתובת שאליה מפקידים באופן קבוע).
- יצירת כתובת דומה: בעזרת כלים ליצירת "כתובות מותאמות" (Vanity Address), הוא מייצר כתובת שההתחלה והסיום שלה זהים לכתובת שאתם סומכים עליה, בעוד שהאמצע שונה לחלוטין.
- הזרקת עסקה מדומה: מהכתובת הדומה הזו הוא שולח עסקה בערך אפס או בסכום זעיר ביותר (המכונה "אבק" או Dust) לארנק שלכם.
- ההרעלה: העסקה הזו מופיעה כעת בהיסטוריה שלכם, כך שהכתובת המזויפת נראית כאילו כבר התקשרתם איתה בעבר.
- המלכודת: בפעם הבאה, מתוך הרגל, אתם מעתיקים את הכתובת מההיסטוריה ושולחים את הכסף שלכם ישירות לנוכל במקום ליעד האמיתי.
העסקה המורעלת עצמה לא מושכת כספים ולא פורצת לארנק שלכם. כל הסיכון מתרכז ברגע שבו אתם עצמכם מעתיקים את הכתובת השגויה ושולחים אליה. בגלל זה קשה לזהות את זה: הכול נראה תקין עד שכבר מאוחר מדי.
ההבדל בינה לבין חטיפת לוח ההעתקה (Clipboard Hijacking)
רבים מבלבלים בין הרעלת כתובות לבין תוכנות זדוניות לחטיפת לוח ההעתקה, אך מדובר בשתי התקפות שונות לחלוטין מבחינת המנגנון ומיקום הסיכון. (לחטיפת לוח ההעתקה מוקדש מאמר נפרד משלה.)
| היבט | הרעלת היסטוריית עסקאות | חטיפת לוח ההעתקה |
|---|---|---|
| איפה זה קורה? | על הרשת הציבורית (בלוקצ'יין) | בתוך המכשיר שלכם, שנדבק בתוכנה זדונית |
| דורש פריצה למכשיר? | לא | כן |
| איך הכתובת השגויה מגיעה אליכם? | אתם מעתיקים אותה בעצמכם מההיסטוריה המורעלת | התוכנה הזדונית מחליפה את מה שהעתקתם ברגע ההדבקה |
| מתי הסיכון מתממש? | בשימוש חוזר בכתובת ישנה | בכל פעולת העתק-הדבק של כתובת |
| ההגנה העיקרית | לא להעתיק מההיסטוריה, ולוודא את הכתובת במלואה | תוכנת אבטחה נקייה ואימות אחרי ההדבקה |
המסקנה: בהרעלה, הרשת "נקייה" והמכשיר שלכם תקין, אבל ההרגל שלכם הוא נקודת התורפה. בחטיפת לוח ההעתקה, המכשיר שלכם עצמו הוא הנגוע.
הכלל הזהב: אמתו את הכתובת במלואה
הטעות המסוכנת ביותר שאתם עלולים לעשות היא להסתפק בהתאמת התווים הראשונים והאחרונים בלבד. התוקף תכנן את הכתובת שלו במיוחד כדי שתתאים בדיוק בשני הקצוות האלה.
- השוו את הכתובת במלואה, לא רק את ההתחלה והסוף. ההבדל תמיד נמצא באמצע.
- בדקו גם קבוצות תווים באמצע, למשל התווים העשירי עד העשרים.
- ככל שהסכום גדול יותר, כך הזהירות צריכה להכפיל את עצמה - בצעו אימות נוסף לפני האישור.
טיפ מעשי: שמרו את הכתובות שבהן אתם משתמשים באופן קבוע בפנקס כתובות מהימן (Address Book / Whitelist) בתוך הארנק שלכם, ותמיד שלחו מהרשימה השמורה הזו, לא מהיסטוריית העסקאות.
איך להגן על עצמכם בפועל
- לעולם אל תעתיקו כתובות מהיסטוריית העסקאות. זו הדלת שדרכה חודרת ההתקפה.
- השתמשו בפנקס הכתובות המהימן לכל גורם שאתם עובדים איתו הרבה, ותנו לו שם ברור.
- שלחו קודם עסקת בדיקה קטנה כשאתם משתמשים בכתובת בפעם הראשונה או אחרי הפסקה ארוכה, וודאו שהיא הגיעה לפני שליחת הסכום המלא.
- שימו לב לעסקאות "אבק" מוזרות בערך אפס או זעיר מכתובות שאתם לא מכירים; התעלמו מהן ואל תגיבו אליהן.
- ודאו שהרשת נכונה (TRC20 או BEP20) בנוסף לכתובת עצמה, כי כתובת נכונה ברשת הלא נכונה עלולה גם היא להוביל לאובדן כספים.
- השתמשו בסורק QR הרשמי של האפליקציה או הפלטפורמה המהימנה במקום העתקה ידנית, כשזה זמין.
העברות קריפטו הן סופיות ובלתי הפיכות. ברגע שהכספים שלכם מגיעים לכתובת של הנוכל, אין שום גורם שיכול להשיב אותם. הדקה הנוספת שתשקיעו באימות הכתובת במלואה עשויה לחסוך לכם אובדן של כל היתרה שלכם.
לסיכום
הרעלת כתובות היא התקפה חכמה כי היא לא תוקפת את הטכנולוגיה, אלא תוקפת את האמון שלכם בהיסטוריה ואת ההרגל שלכם להעתיק מהר. אין תוכנה זדונית ואין פריצה; רק כתובת דומה שנשתלה בהיסטוריה שלכם וממתינה לרגע של חוסר תשומת לב מצדכם.
הנשק החזק ביותר שלכם פשוט: הפסיקו להעתיק מההיסטוריה, הסתמכו על פנקס כתובות מהימן, ואמתו את הכתובת במלואה בכל פעם. בעולם הקריפטו, זהירות של רגע זולה הרבה יותר מחרטה של תמיד.
תוכן זה נועד למטרות חינוכיות והסברתיות בלבד, ואינו מהווה ייעוץ פיננסי, משפטי או אבטחתי מקיף. האחריות הבלעדית להגנה על הארנק שלכם ולאימות כל עסקה לפני אישורה חלה עליכם בלבד.
מאמרים קשורים
המזל מאיר פנים לאמיצים. חצו באומץ — התגמולים אמיתיים.