Kripto

Sukčiai taikosi į kriptovaliutų vartotojus naudodami naują „nulinės vertės perkėlimo“ triuką

02/08/2023
„Bitcoin Ethereum“ naujienos

Etherscan duomenys rodo, kad kai kurie kriptovaliutų sukčiai taikosi į vartotojus naudodami naują triuką, leidžiantį patvirtinti operaciją iš aukos piniginės, bet neturėdami aukos privataus rakto. Ataka gali būti vykdoma tik 0 vertės operacijoms. Tačiau dėl to kai kurie vartotojai gali netyčia nusiųsti žetonus užpuolikui, kai iškirpti ir įklijuoti užgrobtų operacijų istoriją.

„Blockchain“ saugos įmonė „SlowMist“. atrado gruodį naują techniką ir atskleidė ją tinklaraščio įraše. Nuo tada „SafePal“ ir „Etherscan“ taiko švelninimo metodus, kad apribotų jos poveikį vartotojams, tačiau kai kurie vartotojai vis dar gali nežinoti apie tai.

Remiantis „SlowMist“ pranešimu, sukčiavimas veikia siunčiant nulinių žetonų operaciją iš aukos piniginės adresu, kuris atrodo panašus į tą, kuriuo auka anksčiau siuntė žetonus.

Pavyzdžiui, jei auka išsiuntė 100 monetų mainų indėlio adresu, užpuolikas gali išsiųsti nulį monetų iš aukos piniginės panašiu adresu, bet iš tikrųjų jį kontroliuoja užpuolikas. Auka gali matyti šią operaciją savo operacijų istorijoje ir padaryti išvadą, kad nurodytas adresas yra teisingas depozito adresas. Dėl to jie gali nusiųsti savo monetas tiesiai užpuolikui.

Sandorio siuntimas be savininko leidimo 

Įprastomis aplinkybėmis užpuolikui reikia aukos privataus rakto, kad galėtų išsiųsti operaciją iš aukos piniginės. Tačiau „Etherscan“ „sutarčių skirtuko“ funkcija atskleidžia, kad kai kuriose žetonų sutartyse yra spraga, leidžianti užpuolikui siųsti operaciją iš bet kokios piniginės.

Pavyzdžiui, USD monetos (USDC) kodas „Etherscan“. rodo kad „TransferFrom“ funkcija leidžia bet kuriam asmeniui perkelti monetas iš kito asmens piniginės tol, kol jų siunčiamų monetų kiekis yra mažesnis arba lygus adreso savininko leidžiamam kiekiui.

Paprastai tai reiškia, kad užpuolikas negali atlikti operacijos iš kito asmens adreso, nebent savininkas patvirtintų jiems skirtą nuolaidą.

Tačiau šiame apribojime yra spraga. Leidžiama suma apibrėžiama kaip skaičius (vadinamas „uint256 tipu“), o tai reiškia, kad jis interpretuojamas kaip nulis, nebent jis konkrečiai nustatytas kaip koks nors kitas skaičius. Tai galima pamatyti funkcijoje „pašalpa“.

vaizdas

Todėl tol, kol užpuoliko operacijos vertė yra mažesnė arba lygi nuliui, jie gali siųsti operaciją iš absoliučiai bet kokios norimos piniginės, nereikalaujant privataus rakto ar išankstinio savininko patvirtinimo.

USDC nėra vienintelis tokenas, leidžiantis tai padaryti. Panašų kodą galima rasti daugumoje žetonų sutarčių. Tai netgi gali būti steigti sutarčių pavyzdžiuose, pateiktuose oficialioje Ethereum fondo svetainėje.

Nulinės vertės perdavimo sukčiavimo pavyzdžiai

Etherscan rodo, kad kai kurie piniginių adresai per dieną iš įvairių aukų piniginių siunčia tūkstančius nulinės vertės operacijų be jų sutikimo.

Pavyzdžiui, paskyra, pažymėta Fake_Phishing7974, naudojo nepatvirtintą išmaniąją sutartį atlikti daugiau nei 80 sandorių paketų sausio 12 d., su kiekvienu paketu kuriame yra 50 nulinės vertės operacijų, iš viso 4,000 neautorizuotų operacijų per vieną dieną.

Klaidinantys adresai

Atidžiau pažvelgus į kiekvieną operaciją, paaiškėja šio šlamšto motyvas: užpuolikas siunčia nulinės vertės operacijas adresais, kurie atrodo labai panašūs į tuos, kuriems aukos anksčiau siųsdavo lėšas.

Pavyzdžiui, Etherscan rodo, kad vienas iš vartotojo adresų, į kurį nukreiptas užpuolikas, yra toks:

0x20d7f90d9c40901488a935870e1e80127de11d74.

Sausio 29 d. ši paskyra suteikė teisę 5,000 XNUMX Tether (USDT) išsiųsti šiuo gavimo adresu:

0xa541efe60f274f813a834afd31e896348810bb09.

Iškart po to Fake_Phishing7974 šiuo adresu išsiuntė nulinės vertės operaciją iš aukos piniginės:

0xA545c8659B0CD5B426A027509E55220FDa10bB09.

Pirmieji penki simboliai ir paskutiniai šeši šių dviejų gavimo adresų ženklai yra visiškai vienodi, tačiau viduryje esantys simboliai yra visiškai skirtingi. Užpuolikas galėjo siekti, kad vartotojas siųstų USDT šiuo antruoju (netikru) adresu, o ne tikruoju, atiduodamas savo monetas užpuolikui.

Šiuo konkrečiu atveju atrodo, kad sukčiai nepavyko, nes Etherscan nerodo jokių operacijų iš šio adreso į vieną iš sukčių sukurtų netikrų adresų. Tačiau atsižvelgiant į nulinės vertės operacijų, atliktų šioje paskyroje, apimtį, planas galėjo veikti kitais atvejais.

Piniginės ir blokų tyrinėtojai gali labai skirtis atsižvelgiant į tai, kaip ir ar jie rodo klaidinančias operacijas.

Piniginės

Kai kurios piniginės gali iš viso nerodyti šlamšto operacijų. Pavyzdžiui, „MetaMask“ nerodo jokios operacijų istorijos, jei ji įdiegta iš naujo, net jei pačioje paskyroje blokų grandinėje yra šimtai operacijų. Tai reiškia, kad ji saugo savo operacijų istoriją, o ne ištraukia duomenis iš blokų grandinės. Tai turėtų užkirsti kelią nepageidaujamų laiškų operacijoms atsirasti piniginės operacijų istorijoje.

Kita vertus, jei piniginė ištraukia duomenis tiesiai iš „blockchain“, „spam“ operacijos gali būti rodomos piniginės ekrane. Gruodžio 13 d. „Twitter“ paskelbtame pranešime „SafePal“ generalinė direktorė Veronica Wong įspėjo, „SafePal“ naudotojai, kad jo piniginėje gali būti rodomos operacijos. Siekdama sumažinti šią riziką, ji teigė, kad „SafePal“ keičia adresų rodymo būdą naujesniose piniginės versijose, kad vartotojams būtų lengviau patikrinti adresus.

Gruodį vienas vartotojas taip pat pranešė, kad jų „Trezor“ piniginė buvo rodymas klaidinančių sandorių.

„Cointelegraph“ el. paštu susisiekė su „Trezor“ kūrėju „SatoshiLabs“, kad galėtų pakomentuoti. Atsakydamas, atstovas pareiškė, kad piniginė ištraukia savo operacijų istoriją tiesiai iš „blockchain“ „kiekvieną kartą, kai vartotojai prijungia savo Trezor piniginę“.

Tačiau komanda imasi veiksmų, kad apsaugotų vartotojus nuo sukčiavimo. Būsimame „Trezor Suite“ naujinime programinė įranga „pažymės įtartinas nulinės vertės operacijas, kad vartotojai būtų įspėti, kad tokios operacijos gali būti apgaulingos“. Bendrovė taip pat pareiškė, kad piniginėje visada rodomas visas kiekvienos operacijos adresas ir kad jie „primygtinai rekomenduoja vartotojams visada patikrinti visą adresą, o ne tik pirmąjį ir paskutinįjį simbolius“.

Blokuoti tyrinėtojus

Be piniginių, blokų tyrinėtojai yra dar viena programinė įranga, kurią galima naudoti norint peržiūrėti operacijų istoriją. Kai kurie tyrinėtojai gali rodyti šias operacijas taip, kad netyčia suklaidintų vartotojus, kaip tai daro kai kurios piniginės.

Siekdama sušvelninti šią grėsmę, „Etherscan“ pradėjo rodyti nulinės vertės prieigos rakto operacijas, kurių inicijuoja ne vartotojas. Jis taip pat pažymi šias operacijas su įspėjimu, kuriame sakoma: „Tai nulinės vertės prieigos rakto perdavimas, inicijuotas kito adreso“, kaip rodo toliau pateiktas vaizdas.

Kiti blokų tyrinėtojai galėjo imtis tų pačių veiksmų kaip Etherscan, kad įspėtų vartotojus apie šias operacijas, tačiau kai kurie šių veiksmų dar neįgyvendino.

Patarimai, kaip išvengti „nulinės vertės perkėlimo iš“ gudrybės

„Cointelegraph“ susisiekė su „SlowMist“, kad gautų patarimų, kaip išvengti „nulinės vertės TransferFrom“ gudrybės.

Bendrovės atstovas „Cointelegraph“ pateikė patarimų, kaip netapti išpuolio auka, sąrašą:

  1. „Būkite atsargūs ir patikrinkite adresą prieš atlikdami bet kokias operacijas.
  2. "Pasinaudokite baltojo sąrašo funkcija savo piniginėje, kad išvengtumėte lėšų siuntimo netinkamais adresais."
  3. „Būkite budrūs ir informuoti. Jei susidūrėte su įtartinais perdavimais, skirkite laiko ramiai ištirti šį klausimą, kad netaptumėte sukčių auka.
  4. „Išlaikykite sveiką skepticizmo lygį, visada būkite atsargūs ir budrūs“.

Sprendžiant iš šio patarimo, svarbiausias dalykas, kurį kriptovaliutų vartotojai turėtų atsiminti, yra visada patikrinti adresą prieš siunčiant kriptovaliutą. Net jei atrodo, kad operacijos įrašas rodo, kad anksčiau siuntėte kriptovaliutą šiuo adresu, tokia išvaizda gali būti apgaulinga.