- Eine einzelne Copy-Paste-Panne hat einen Trader rund 50 Millionen USDT gekostet, nachdem er eine von einem Angreifer „vergiftete“ Adresse aus seiner Transaktionshistorie kopiert hatte.
- Die Attacke nutzt aus, dass viele Wallet-Oberflächen nur die ersten und letzten Zeichen einer Adresse anzeigen – und dass Nutzer sich auf genau diesen verkürzten Ausschnitt verlassen.
On-Chain-Daten zeigen einen Lehrbuchfall dafür, wie gefährlich sogenannte Address-Poisoning-Angriffe geworden sind. Der betroffene Nutzer hatte am 20. Dezember zunächst 50 USDT von Binance auf seine eigene Wallet-Adresse geschickt. Diese beginnt mit 0xbaf4… und endet auf …F8b5.
Der Angreifer beobachtete die Transaktion in Echtzeit und erstellte umgehend eine neue Adresse, deren erste und letzte vier Zeichen identisch aussahen. Anschließend sendete er selbst eine kleine USDT-Überweisung an die Opferadresse, damit seine „vergiftete“ Adresse in der Transaktionshistorie der Wallet erscheint.
Als der Trader kurz darauf die Hauptsumme von 49.999.950 USDT verschicken wollte, kopierte er – wie offenbar gewohnt – die Adresse bequem aus seinem Activity-Log. Da viele Wallets aus Designgründen den Mittelteil einer Adresse mit „…“ ausblenden, wirkten Test- und Fake-Adresse auf einen flüchtigen Blick identisch. Die komplette Position landete direkt in der Wallet des Angreifers.
Designproblem trifft Bequemlichkeit
Der Fall zeigt, wie UI-Entscheidungen und Nutzergewohnheiten eine Angriffsfläche schaffen. Viele Anwender prüfen nur Anfang und Ende einer Adresse und verlassen sich darauf, dass die Historie „schon stimmt“. Angreifer kalkulieren das inzwischen ein und spekulieren gezielt auf Copy-Paste-Verhalten.
Best-Practice bleibt damit altmodisch und unbequem: Adressen direkt aus der eigenen Wallet oder einem Adressbuch übernehmen, nicht aus der Historie. Und vor großen Transfers die komplette Zeichenkette mindestens einmal sorgfältig prüfen – nicht nur die ersten und letzten vier Buchstaben.
