Kriptovalute

Prevaranti ciljaju korisnike kriptovalute s novim trikom 'prijenos nulte vrijednosti'

02/08/2023
Bitcoin Ethereum vijesti

Podaci iz Etherscana pokazuju da neki kripto prevaranti ciljaju korisnike novim trikom koji im omogućuje da potvrde transakciju iz novčanika žrtve, ali bez posjedovanja privatnog ključa žrtve. Napad se može izvesti samo za transakcije vrijednosti 0. Međutim, to može uzrokovati da neki korisnici slučajno pošalju tokene napadaču kao rezultat rezanja i lijepljenja iz otete povijesti transakcija.

Sigurnosna tvrtka za blockchain SlowMist otkrio novu tehniku ​​u prosincu i otkrio je u postu na blogu. Od tada su i SafePal i Etherscan usvojili tehnike ublažavanja kako bi ograničili njegov učinak na korisnike, ali neki korisnici možda još uvijek nisu svjesni njegovog postojanja.

Prema objavi SlowMista, prijevara funkcionira slanjem transakcije od nula tokena iz novčanika žrtve na adresu koja izgleda slično onoj na koju je žrtva prethodno poslala tokene.

Na primjer, ako je žrtva poslala 100 kovanica na adresu depozita za razmjenu, napadač može poslati nula kovanica iz žrtvinog novčanika na adresu koja izgleda slično, ali je zapravo pod kontrolom napadača. Žrtva može vidjeti ovu transakciju u svojoj povijesti transakcija i zaključiti da je prikazana adresa točna adresa depozita. Kao rezultat toga, oni mogu poslati svoje novčiće izravno napadaču.

Slanje transakcije bez dopuštenja vlasnika 

U normalnim okolnostima, napadač treba žrtvin privatni ključ da pošalje transakciju iz žrtvinog novčanika. Ali Etherscanova značajka “ugovorne kartice” otkriva da postoji rupa u nekim ugovorima tokena koja može dopustiti napadaču da pošalje transakciju iz bilo kojeg novčanika.

Na primjer, kod za USD Coin (USDC) na Etherscanu pokazuje da funkcija “TransferFrom” omogućuje bilo kojoj osobi premještanje kovanica iz novčanika druge osobe sve dok je količina kovanica koju šalju manja ili jednaka količini koju dopušta vlasnik adrese.

To obično znači da napadač ne može izvršiti transakciju s adrese druge osobe osim ako vlasnik ne odobri dopuštenje za njih.

Međutim, postoji rupa u ovom ograničenju. Dopušteni iznos definiran je kao broj (nazvan "tip uint256"), što znači da se tumači kao nula osim ako nije posebno postavljen na neki drugi broj. To se može vidjeti u funkciji "dodatak".

Slika

Kao rezultat toga, sve dok je vrijednost napadačeve transakcije manja ili jednaka nuli, oni mogu poslati transakciju iz apsolutno bilo kojeg novčanika koji žele, bez potrebe za privatnim ključem ili prethodnim odobrenjem od vlasnika.

USDC nije jedini token koji to omogućuje. Sličan kod može se pronaći u većini token ugovora. Može čak i biti pronađen u primjerima ugovora s poveznicama na službenoj web stranici Zaklade Ethereum.

Primjeri prijevare s prijenosom nulte vrijednosti

Etherscan pokazuje da neke adrese novčanika šalju tisuće transakcija nulte vrijednosti dnevno iz novčanika raznih žrtava bez njihovog pristanka.

Na primjer, račun s oznakom Fake_Phishing7974 koristio je neprovjereni pametni ugovor za izvoditi više od 80 paketa transakcija 12. siječnja, sa svakim paketom koji sadrži 50 transakcija nulte vrijednosti za ukupno 4,000 neovlaštenih transakcija u jednom danu.

Obmanjujuće adrese

Pažljiviji pregled svake transakcije otkriva motiv za ovu neželjenu poštu: napadač šalje transakcije nulte vrijednosti na adrese koje izgledaju vrlo slično onima na koje su žrtve prethodno slale sredstva.

Na primjer, Etherscan pokazuje da je jedna od korisničkih adresa na koje cilja napadač sljedeća:

0x20d7f90d9c40901488a935870e1e80127de11d74.

Dana 29. siječnja ovaj je račun autorizirao slanje 5,000 Tether (USDT) na ovu primateljsku adresu:

0xa541efe60f274f813a834afd31e896348810bb09.

Odmah nakon toga, Fake_Phishing7974 je poslao transakciju nulte vrijednosti iz novčanika žrtve na ovu adresu:

0xA545c8659B0CD5B426A027509E55220FDa10bB09.

Prvih pet znakova i zadnjih šest znakova ovih dviju primateljskih adresa potpuno su isti, ali znakovi u sredini potpuno su različiti. Napadač je možda namjeravao da korisnik pošalje USDT na ovu drugu (lažnu) adresu umjesto na pravu, dajući svoje kovanice napadaču.

U ovom konkretnom slučaju, čini se da prijevara nije uspjela, jer Etherscan ne prikazuje nikakve transakcije s ove adrese na jednu od lažnih adresa koje je stvorio prevarant. Ali s obzirom na količinu transakcija nulte vrijednosti koje je izvršio ovaj račun, plan je možda uspio u drugim slučajevima.

Novčanici i istraživači blokova mogu se značajno razlikovati po tome kako ili pokazuju li pogrešne transakcije.

Novčanici

Neki novčanici možda uopće neće prikazati neželjene transakcije. Na primjer, MetaMask ne prikazuje povijest transakcija ako se ponovno instalira, čak i ako sam račun ima stotine transakcija na blockchainu. To implicira da pohranjuje vlastitu povijest transakcija umjesto da povlači podatke iz blockchaina. To bi trebalo spriječiti neželjene transakcije da se pojave u povijesti transakcija novčanika.

S druge strane, ako novčanik povlači podatke izravno iz blockchaina, neželjene transakcije mogu se prikazati na zaslonu novčanika. U objavi na Twitteru od 13. prosinca, izvršna direktorica SafePala Veronica Wong Upozorio SafePal korisnici da njegov novčanik može prikazati transakcije. Kako bi ublažio ovaj rizik, rekla je da SafePal mijenja način na koji se adrese prikazuju u novijim verzijama novčanika kako bi korisnicima olakšao pregled adresa.

U prosincu je jedan korisnik također prijavio da je njihov Trezor novčanik prikazivanje obmanjujuće transakcije.

Cointelegraph se putem e-pošte obratio razvojnom programeru Trezora SatoshiLabsu za komentar. Kao odgovor, predstavnik je izjavio da novčanik povlači svoju povijest transakcija izravno iz blockchaina "svaki put kada korisnici priključe svoj Trezor novčanik."

Međutim, tim poduzima korake kako bi zaštitio korisnike od prijevare. U nadolazećem ažuriranju Trezor Suitea, softver će "označiti sumnjive transakcije nulte vrijednosti kako bi korisnici bili upozoreni da su takve transakcije potencijalno lažne." Tvrtka je također izjavila da novčanik uvijek prikazuje punu adresu svake transakcije i da oni "toplo preporučuju da korisnici uvijek provjeravaju punu adresu, a ne samo prve i zadnje znakove."

Blokirajte istraživače

Osim novčanika, istraživači blokova još su jedna vrsta softvera koji se može koristiti za pregled povijesti transakcija. Neki istraživači mogu prikazati te transakcije na takav način da nenamjerno dovedu korisnike u zabludu, baš kao što to čine neki novčanici.

Kako bi ublažio ovu prijetnju, Etherscan je počeo zasivljivati ​​transakcije tokena nulte vrijednosti koje nije pokrenuo korisnik. Također označava te transakcije upozorenjem koje kaže: "Ovo je prijenos tokena nulte vrijednosti koji je pokrenula druga adresa", kao što dokazuje slika u nastavku.

Drugi istraživači blokova možda su poduzeli iste korake kao Etherscan kako bi upozorili korisnike o ovim transakcijama, ali neki možda još nisu implementirali te korake.

Savjeti za izbjegavanje trika "TransferFrom s nultom vrijednošću".

Cointelegraph se obratio SlowMistu za savjet kako izbjeći da postanete žrtva trika "TransferFrom s nultom vrijednošću".

Predstavnik tvrtke dao je Cointelegraphu popis savjeta kako izbjeći da postanete žrtva napada:

  1. "Budite oprezni i provjerite adresu prije izvršavanja bilo kakvih transakcija."
  2. "Upotrijebite značajku popisa dopuštenih u svom novčaniku kako biste spriječili slanje sredstava na pogrešne adrese."
  3. “Ostanite budni i informirani. Ako naiđete na bilo kakve sumnjive prijenose, odvojite vrijeme da mirno istražite stvar kako ne biste postali žrtva prevaranata.”
  4. "Održavajte zdravu razinu skepticizma, uvijek ostanite oprezni i budni."

Sudeći prema ovom savjetu, najvažnija stvar koju korisnici kripto valute moraju zapamtiti je da uvijek provjere adresu prije nego što joj pošalju kripto. Čak i ako se čini da zapis transakcije implicira da ste već slali kriptovalute na adresu, ovaj izgled može zavarati.