Hacker steelt $20 miljoen USDT via zero-value scam

Op 1 augustus meldde PeckShieldAlert, een blockchain-beveiligingsservice, dat een oplichter 20 miljoen USDT had gestolen van 0x407e door middel van een zero-transfer aanval. Tether heeft proactief de gestolen crypto-activa bevroren door de adressen van de USDT-oplichter binnen een uur op de zwarte lijst te zetten.

Het slachtoffer ontving een paar dagen eerder 10 miljoen USDT van Binance en had de munten naar het beoogde alternatieve adres overgeboekt. Tijdens die overdracht stuurde de fraudeur echter een token met nulwaarde van het adres van het slachtoffer naar hun phishing-adres. Een paar uur later stuurde het slachtoffer de fraudeur 20 miljoen USDT, in de veronderstelling dat ze het naar hun voorkeursadres stuurden.

Hoe werkt een zero-value scam?

Een zero-value transfer scam heeft een bijzondere modus operandi. Eerst misleidt de oplichter de klanten om een transactie ter waarde van $0 naar een phishing-adres te maken dat lijkt op het adres waar het slachtoffer routinematig geld naartoe overmaakt.

De meeste gebruikers kijken alleen naar de eerste en laatste paar cijfers van een wallet-adres en negeren het volledige adres. Zo weten oplichters gebruikers te slim af te zijn door een phishing-adres te gebruiken dat op het eerste gezicht lijkt op het originele adres.

Omdat de overdrachten geen monetaire waarde hebben, is de privésleutel van het slachtoffer niet nodig om ze uit te voeren. Hoewel deze overdracht zelf geen geld kan stelen, kan het slachtoffers wel misleiden om in de toekomst echte fondsen naar het verkeerde adres te sturen. Dit kan gebeuren als de gebruiker vaak afhankelijk is van hun transactiegeschiedenis om adressen te verifiëren waarnaar ze transacties uitvoeren.

In de hierboven genoemde zwendel misleidde de oplichter het slachtoffer om $0 USDT naar een phishing-adres te sturen. Toen de gebruiker een legitieme transactie wilde voltooien, vergiste hij zich in de phishing-URL voor het originele adres.