Crypto

Prevaranti ciljaju kripto korisnike s novim trikom "TransferFrom nulte vrijednosti".

02/08/2023
Bitcoin Ethereum vijesti

Podaci iz Etherscana pokazuju da neki kripto prevaranti ciljaju korisnike novim trikom koji im omogućava da potvrde transakciju iz novčanika žrtve, ali bez posjedovanja privatnog ključa žrtve. Napad se može izvesti samo za transakcije vrijednosti 0. Međutim, može uzrokovati da neki korisnici slučajno pošalju tokene napadaču kao rezultat rezanja i lijepljenja iz otete historije transakcija.

Blockchain sigurnosna firma SlowMist otkrili novu tehniku ​​u decembru i otkrio je u postu na blogu. Od tada, i SafePal i Etherscan usvojili su tehnike ublažavanja kako bi ograničili njegov učinak na korisnike, ali neki korisnici možda još uvijek nisu svjesni njegovog postojanja.

Prema objavi iz SlowMista, prevara funkcionira tako što se transakcija od nula tokena iz novčanika žrtve šalje na adresu koja izgleda slično onoj na koju je žrtva prethodno poslala tokene.

Na primjer, ako je žrtva poslala 100 novčića na adresu depozita za razmjenu, napadač može poslati nula novčića iz novčanika žrtve na adresu koja izgleda slično, ali koja je u stvari pod kontrolom napadača. Žrtva može vidjeti ovu transakciju u svojoj historiji transakcija i zaključiti da je prikazana adresa ispravna adresa depozita. Kao rezultat toga, oni mogu poslati svoje novčiće direktno napadaču.

Slanje transakcije bez dozvole vlasnika 

U normalnim okolnostima, napadaču je potreban privatni ključ žrtve da pošalje transakciju iz novčanika žrtve. Ali Etherscan-ova funkcija „kartica ugovora“ otkriva da postoji rupa u nekim ugovorima o tokenima koja može dozvoliti napadaču da pošalje transakciju iz bilo kojeg novčanika.

Na primjer, kod za USD Coin (USDC) na Etherscanu emisije da funkcija “TransferFrom” dozvoljava bilo kojoj osobi da premješta kovanice iz novčanika druge osobe sve dok je količina novčića koju šalju manja ili jednaka iznosu koji dozvoljava vlasnik adrese.

To obično znači da napadač ne može izvršiti transakciju sa adrese druge osobe osim ako vlasnik ne odobri dopuštenje za njih.

Međutim, u ovom ograničenju postoji rupa. Dozvoljeni iznos je definiran kao broj (nazvan “tip uint256”), što znači da se tumači kao nula osim ako nije posebno postavljen na neki drugi broj. To se može vidjeti u funkciji "dopust".

slika

Kao rezultat, sve dok je vrijednost napadačeve transakcije manja ili jednaka nuli, oni mogu poslati transakciju iz apsolutno bilo kojeg novčanika koji žele, bez potrebe za privatnim ključem ili prethodnom odobrenjem vlasnika.

USDC nije jedini token koji to omogućava. Sličan kod se može naći u većini tokenskih ugovora. Može čak i biti pronađeno u primjerima ugovora na koje se povezuju sa službene web stranice Ethereum fondacije.

Primjeri prevare s prijenosom nulte vrijednosti

Etherscan pokazuje da neke adrese novčanika šalju hiljade transakcija nulte vrijednosti dnevno iz novčanika različitih žrtava bez njihovog pristanka.

Na primjer, račun s oznakom Fake_Phishing7974 koristio je neprovjereni pametni ugovor za Izvoditi više od 80 paketa transakcija 12. januara, sa svakim paketom koji sadrži 50 transakcija nulte vrijednosti za ukupno 4,000 neovlaštenih transakcija u jednom danu.

Obmanjujuće adrese

Detaljnije posmatranje svake transakcije otkriva motiv ove neželjene pošte: Napadač šalje transakcije nulte vrednosti na adrese koje izgledaju veoma slične onima na koje su žrtve prethodno slale sredstva.

Na primjer, Etherscan pokazuje da je jedna od korisničkih adresa ciljanih od strane napadača sljedeća:

0x20d7f90d9c40901488a935870e1e80127de11d74.

Dana 29. januara, ovaj račun je ovlastio 5,000 Tether (USDT) za slanje na ovu adresu primanja:

0xa541efe60f274f813a834afd31e896348810bb09.

Fake_Phishing7974 je odmah nakon toga poslao transakciju nulte vrijednosti iz novčanika žrtve na ovu adresu:

0xA545c8659B0CD5B426A027509E55220FDa10bB09.

Prvih pet znakova i posljednjih šest znakova ove dvije adrese primanja su potpuno isti, ali svi znakovi u sredini su potpuno različiti. Napadač je možda imao namjeru da korisnik pošalje USDT na ovu drugu (lažnu) adresu umjesto na pravu, dajući svoje novčiće napadaču.

U ovom konkretnom slučaju, izgleda da prevara nije uspjela, jer Etherscan ne prikazuje nikakve transakcije s ove adrese na jednu od lažnih adresa koje je napravio prevarant. Ali s obzirom na obim transakcija nulte vrijednosti koje je obavio ovaj račun, plan je možda uspio u drugim slučajevima.

Novčanici i istraživači blokova mogu se značajno razlikovati u pogledu toga kako i da li prikazuju obmanjujuće transakcije.

Novčanici

Neki novčanici možda uopće ne prikazuju neželjene transakcije. Na primjer, MetaMask ne prikazuje povijest transakcija ako se ponovo instalira, čak i ako sam račun ima stotine transakcija na blockchainu. To implicira da pohranjuje vlastitu povijest transakcija umjesto da izvlači podatke iz blockchaina. Ovo bi trebalo spriječiti neželjene transakcije da se prikažu u historiji transakcija novčanika.

S druge strane, ako novčanik izvlači podatke direktno iz blockchaina, neželjene transakcije se mogu pojaviti na ekranu novčanika. U najavi od 13. decembra na Twitteru, izvršna direktorica SafePal-a Veronica Wong upozorio SafePal korisnici da njegov novčanik može prikazati transakcije. Kako bi ublažila ovaj rizik, rekla je da SafePal mijenja način na koji se adrese prikazuju u novijim verzijama svog novčanika kako bi korisnicima olakšao pregled adresa.

U decembru je jedan korisnik također prijavio da je njihov Trezor novčanik prikazivanje obmanjujuće transakcije.

Cointelegraph se putem e-pošte obratio Trezor programeru SatoshiLabs za komentar. Kao odgovor, predstavnik je izjavio da novčanik izvlači svoju istoriju transakcija direktno iz blockchaina „svaki put kada korisnici uključe svoj Trezor novčanik“.

Međutim, tim poduzima korake kako bi zaštitio korisnike od prevare. U predstojećem ažuriranju Trezor Suitea, softver će "označiti sumnjive transakcije nulte vrijednosti kako bi korisnici bili upozoreni da su takve transakcije potencijalno lažne." Kompanija je također navela da novčanik uvijek prikazuje punu adresu svake transakcije i da “spremno preporučuju da korisnici uvijek provjeravaju punu adresu, a ne samo prvi i posljednji karakter”.

Blokirajte istraživače

Osim novčanika, istraživači blokova su još jedan tip softvera koji se može koristiti za pregled povijesti transakcija. Neki istraživači mogu prikazati ove transakcije na takav način da nenamjerno obmanu korisnike, baš kao što to čine neki novčanici.

Kako bi ublažio ovu prijetnju, Etherscan je počeo da zatamnjuje transakcije tokena nulte vrijednosti koje nije pokrenuo korisnik. Također označava ove transakcije upozorenjem koje kaže: “Ovo je prijenos tokena nulte vrijednosti pokrenut od strane druge adrese”, kao što je vidljivo na slici ispod.

Drugi istraživači blokova su možda poduzeli iste korake kao Etherscan kako bi upozorili korisnike na ove transakcije, ali neki možda još nisu implementirali ove korake.

Savjeti za izbjegavanje trika "Transfer od nule vrijednosti".

Cointelegraph se obratio SlowMist-u za savjet kako da izbjegnete žrtvu trika „Transfer od nule vrijednosti“.

Predstavnik kompanije dao je Cointelegraphu listu savjeta kako izbjeći da postanete žrtva napada:

  1. “Budite oprezni i provjerite adresu prije izvršavanja bilo kakve transakcije.”
  2. “Koristite funkciju bijele liste u svom novčaniku da spriječite slanje sredstava na pogrešne adrese.”
  3. “Ostanite oprezni i informisani. Ako naiđete na sumnjive transfere, odvojite vrijeme da mirno istražite stvar kako ne biste postali žrtva prevaranta.”
  4. “Održavajte zdrav nivo skepticizma, uvijek ostanite oprezni i budni.”

Sudeći po ovom savjetu, najvažnije je da korisnici kriptovalute upamte je da uvijek provjere adresu prije nego što joj pošalju kripto. Čak i ako se čini da zapis transakcije implicira da ste već slali kriptovalute na adresu, ovaj izgled može varati.