Crypto

Prevaranti ciljajo na uporabnike kriptovalut z novim trikom 'prenos od ničelne vrednosti'

02/08/2023
Bitcoin Ethereum novice

Podatki Etherscana kažejo, da nekateri kriptoprevaranti ciljajo na uporabnike z novim trikom, ki jim omogoča potrditev transakcije iz denarnice žrtve, vendar brez zasebnega ključa žrtve. Napad se lahko izvede samo za transakcije vrednosti 0. Vendar pa lahko povzroči, da nekateri uporabniki po nesreči pošljejo žetone napadalcu zaradi izrezovanja in lepljenja iz ugrabljene zgodovine transakcij.

Podjetje za varnost blokovnih verig SlowMist odkril novo tehniko decembra in jo razkril v objavi na blogu. Od takrat sta SafePal in Etherscan sprejela tehnike ublažitve, da bi omejila njegov učinek na uporabnike, vendar se nekateri uporabniki morda še vedno ne zavedajo njegovega obstoja.

Glede na objavo SlowMista prevara deluje tako, da pošlje transakcijo nič žetonov iz denarnice žrtve na naslov, ki je podoben naslovu, na katerega je žrtev že poslala žetone.

Na primer, če je žrtev poslala 100 kovancev na naslov za menjalni depozit, lahko napadalec pošlje nič kovancev iz žrtvine denarnice na naslov, ki je videti podoben, vendar je v resnici pod nadzorom napadalca. Žrtev lahko vidi to transakcijo v svoji zgodovini transakcij in sklepa, da je prikazani naslov pravi naslov za depozit. Posledično lahko svoje kovance pošljejo neposredno napadalcu.

Pošiljanje transakcije brez dovoljenja lastnika 

V normalnih okoliščinah napadalec potrebuje zasebni ključ žrtve, da pošlje transakcijo iz denarnice žrtve. Toda Etherscanova funkcija »pogodbeni zavihek« razkrije, da obstaja vrzel v nekaterih žetonskih pogodbah, ki lahko napadalcu omogoči pošiljanje transakcije iz katere koli denarnice.

Na primer koda za kovanec USD (USDC) na Etherscan oddaj da funkcija »TransferFrom« omogoča kateri koli osebi premikanje kovancev iz denarnice druge osebe, če je količina kovancev, ki jih pošilja, manjša ali enaka količini, ki jo dovoljuje lastnik naslova.

To običajno pomeni, da napadalec ne more opraviti transakcije z naslova druge osebe, razen če lastnik odobri dovoljenje zanj.

Vendar pa je v tej omejitvi vrzel. Dovoljena količina je definirana kot številka (imenovana "vrsta uint256"), kar pomeni, da se interpretira kot nič, razen če ni posebej nastavljena na kakšno drugo številko. To je razvidno iz funkcije "dodatek".

Image

Posledično, dokler je vrednost napadalčeve transakcije manjša ali enaka nič, lahko pošljejo transakcijo iz popolnoma katere koli denarnice, ki jo želijo, ne da bi potrebovali zasebni ključ ali predhodno odobritev lastnika.

USDC ni edini žeton, ki to omogoča. Podobno kodo lahko najdete v večini žetonskih pogodb. Lahko je celo je pokazala, v primerih pogodb, povezanih z uradno spletno stranjo Ethereum Foundation.

Primeri prevare s prenosom ničelne vrednosti

Etherscan kaže, da nekateri naslovi denarnic pošiljajo na tisoče transakcij ničelne vrednosti na dan iz različnih denarnic žrtev brez njihove privolitve.

Na primer, račun z oznako Fake_Phishing7974 je uporabil nepreverjeno pametno pogodbo za opravlja več kot 80 svežnjev transakcij 12. januarja z vsakim svežnjem vsebuje 50 transakcij ničelne vrednosti za skupno 4,000 nepooblaščenih transakcij v enem dnevu.

Zavajajoči naslovi

Podrobnejši pregled vsake transakcije razkrije motiv za to neželeno pošto: napadalec pošilja transakcije ničelne vrednosti na naslove, ki so zelo podobni naslovom, na katere so žrtve prej pošiljale sredstva.

Na primer, Etherscan pokaže, da je eden od uporabniških naslovov, na katere cilja napadalec, naslednji:

0x20d7f90d9c40901488a935870e1e80127de11d74.

29. januarja je ta račun odobril pošiljanje 5,000 Tether (USDT) na ta prejemni naslov:

0xa541efe60f274f813a834afd31e896348810bb09.

Takoj zatem je Fake_Phishing7974 poslal transakcijo ničelne vrednosti iz denarnice žrtve na ta naslov:

0xA545c8659B0CD5B426A027509E55220FDa10bB09.

Prvih pet znakov in zadnjih šest znakov teh dveh prejemnih naslovov je popolnoma enakih, vendar so vsi znaki na sredini popolnoma različni. Napadalec je morda želel, da uporabnik pošlje USDT na ta drugi (lažni) naslov namesto na pravi in ​​tako napadalcu da svoje kovance.

V tem konkretnem primeru se zdi, da prevara ni delovala, saj Etherscan ne prikaže nobenih transakcij s tega naslova na enega od lažnih naslovov, ki jih je ustvaril prevarant. Toda glede na obseg transakcij ničelne vrednosti, opravljenih s tem računom, je načrt morda deloval v drugih primerih.

Denarnice in raziskovalci blokov se lahko zelo razlikujejo glede tega, kako in ali prikazujejo zavajajoče transakcije.

Denarnice

Nekatere denarnice morda sploh ne prikažejo neželenih transakcij. Na primer, MetaMask ne prikaže zgodovine transakcij, če je znova nameščen, tudi če ima sam račun na stotine transakcij v verigi blokov. To pomeni, da shranjuje lastno zgodovino transakcij, namesto da podatke črpa iz verige blokov. To bi moralo preprečiti, da bi se vsiljene transakcije prikazale v zgodovini transakcij denarnice.

Po drugi strani pa, če denarnica črpa podatke neposredno iz verige blokov, se lahko vsiljene transakcije prikažejo na zaslonu denarnice. V objavi na Twitterju 13. decembra je izvršna direktorica SafePala Veronica Wong Opozoril Uporabniki SafePala, da lahko njegova denarnica prikazuje transakcije. Da bi zmanjšal to tveganje, je dejala, da SafePal spreminja način prikaza naslovov v novejših različicah svoje denarnice, da bi uporabnikom olajšal pregledovanje naslovov.

Decembra je en uporabnik poročal tudi, da je bila njegova denarnica Trezor prikazovanje zavajajoče transakcije.

Cointelegraph se je po e-pošti obrnil na razvijalca Trezor SatoshiLabs za komentar. V odgovor je predstavnik izjavil, da denarnica potegne svojo zgodovino transakcij neposredno iz verige blokov "vsakič, ko uporabniki priključijo svojo denarnico Trezor."

Vendar ekipa sprejema ukrepe za zaščito uporabnikov pred prevaro. V prihajajoči posodobitvi Trezor Suite bo programska oprema "označila sumljive transakcije ničelne vrednosti, tako da bodo uporabniki opozorjeni, da so takšne transakcije potencialno goljufive." Družba je tudi izjavila, da denarnica vedno prikazuje polni naslov vsake transakcije in da "močno priporočajo, da uporabniki vedno preverijo polni naslov, ne le prvih in zadnjih znakov."

Blok raziskovalcev

Poleg denarnic so raziskovalci blokov druga vrsta programske opreme, ki jo je mogoče uporabiti za ogled zgodovine transakcij. Nekateri raziskovalci lahko te transakcije prikažejo tako, da nehote zavedejo uporabnike, tako kot nekatere denarnice.

Za ublažitev te grožnje je Etherscan začel transakcije žetonov ničelne vrednosti, ki jih ni sprožil uporabnik, obarvati sivo. Prav tako te transakcije označi z opozorilom, ki pravi: »To je prenos žetona ničelne vrednosti, ki ga sproži drug naslov,« kot dokazuje spodnja slika.

Drugi raziskovalci blokov so morda sprejeli enake korake kot Etherscan, da bi uporabnike opozorili na te transakcije, vendar nekateri teh korakov morda še niso izvedli.

Nasveti za izogibanje triku »Prenos od ničelne vrednosti«.

Cointelegraph se je obrnil na SlowMist za nasvet, kako preprečiti, da bi postali žrtev trika »TransferFrom z ničelno vrednostjo«.

Predstavnik podjetja je Cointelegraphu dal seznam nasvetov, kako preprečiti, da bi postali žrtev napada:

  1. "Bodite previdni in preverite naslov pred izvedbo kakršnih koli transakcij."
  2. "Uporabite funkcijo seznama dovoljenih v vaši denarnici, da preprečite pošiljanje sredstev na napačne naslove."
  3. »Ostanite pozorni in obveščeni. Če naletite na kakršna koli sumljiva nakazila, si vzemite čas in zadevo mirno raziščite, da ne boste postali žrtev prevarantov.«
  4. "Ohranite zdravo raven skepticizma, vedno ostanite previdni in pozorni."

Sodeč po tem nasvetu je najpomembnejša stvar, ki si jo morajo uporabniki kriptovalut zapomniti, da vedno preverijo naslov, preden nanj pošljejo kripto. Tudi če se zdi, da zapis o transakciji nakazuje, da ste kripto na naslov že poslali, je ta videz lahko zavajajoč.