Etherscanin tiedot osoittavat, että jotkut kryptohuijarit kohdistavat käyttäjiin uuden tempun, jonka avulla he voivat vahvistaa tapahtuman uhrin lompakosta, mutta ilman uhrin yksityistä avainta. Hyökkäys voidaan suorittaa vain 0-arvoisille tapahtumille. Jotkin käyttäjät voivat kuitenkin vahingossa lähettää tunnuksia hyökkääjälle kaapatun tapahtumahistorian leikkaamisen ja liittämisen seurauksena.
Blockchain-turvayritys SlowMist löysi uutta tekniikkaa joulukuussa ja paljasti sen blogikirjoituksessa. Siitä lähtien sekä SafePal että Etherscan ovat ottaneet käyttöön lieventäviä tekniikoita rajoittaakseen sen vaikutuksia käyttäjiin, mutta jotkut käyttäjät eivät ehkä vieläkään tiedä sen olemassaolosta.
Viime aikoina olemme saaneet yhteisöltä ilmoituksia uudenlaisesta huijauksesta: Zero Transfer Scam. Ole varovainen, jos näet lompakkotietueessasi epäilyttävää 0-siirtoa:
1/10
— Veronica (@V_SafePal) Joulukuu 14, 2022
SlowMistin postauksen mukaan huijaus toimii lähettämällä uhrin lompakosta nollamerkkisen tapahtuman osoitteeseen, joka näyttää samanlaiselta kuin se, johon uhri oli aiemmin lähettänyt rahakkeita.
Jos uhri esimerkiksi lähetti 100 kolikkoa vaihtotalletusosoitteeseen, hyökkääjä voi lähettää nolla kolikkoa uhrin lompakosta osoitteeseen, joka näyttää samalta, mutta joka on itse asiassa hyökkääjän hallinnassa. Uhri saattaa nähdä tämän tapahtuman tapahtumahistoriassaan ja päätellä, että näytettävä osoite on oikea talletusosoite. Tämän seurauksena he voivat lähettää kolikkonsa suoraan hyökkääjälle.
Tapahtuman lähettäminen ilman omistajan lupaa
Tavallisissa olosuhteissa hyökkääjä tarvitsee uhrin yksityisen avaimen lähettääkseen tapahtuman uhrin lompakosta. Mutta Etherscanin "sopimusvälilehti" paljastaa, että joissakin token-sopimuksissa on porsaanreikä, jonka ansiosta hyökkääjä voi lähettää tapahtuman mistä tahansa lompakosta.
Esimerkiksi USD-kolikon (USDC) koodi Etherscanissa osoittaa että "TransferFrom"-toiminto sallii kuka tahansa siirtää kolikoita toisen henkilön lompakosta niin kauan kuin heidän lähettämänsä kolikoiden määrä on pienempi tai yhtä suuri kuin osoitteen omistajan sallima määrä.
Tämä tarkoittaa yleensä sitä, että hyökkääjä ei voi suorittaa tapahtumaa toisen henkilön osoitteesta, ellei omistaja hyväksy sitä.
Tässä rajoituksessa on kuitenkin porsaanreikä. Sallittu määrä määritellään numerona (kutsutaan "uint256-tyypiksi"), mikä tarkoittaa, että se tulkitaan nollaksi, ellei sitä ole erikseen asetettu johonkin muuhun numeroon. Tämä näkyy "korvaus"-toiminnossa.
Tämän seurauksena niin kauan kuin hyökkääjän tapahtuman arvo on pienempi tai yhtä suuri kuin nolla, hän voi lähettää tapahtuman täysin mistä tahansa lompakosta ilman, että hän tarvitsee yksityistä avainta tai omistajan ennakkohyväksyntää.
USDC ei ole ainoa merkki, joka sallii tämän. Samanlainen koodi löytyy useimmista token-sopimuksista. Se voi jopa olla löytyi Ethereum-säätiön viralliselta verkkosivustolta linkitetyissä esimerkkisopimuksissa.
Esimerkkejä nolla-arvon siirtohuijauksesta
Etherscan osoittaa, että jotkin lompakkoosoitteet lähettävät tuhansia nolla-arvoisia tapahtumia päivässä eri uhrien lompakoista ilman heidän suostumustaan.
Esimerkiksi tilillä Fake_Phishing7974 käytettiin vahvistamatonta älykästä sopimusta suorittaa yli 80 tapahtumapakettia 12. tammikuuta jokaisen paketin kanssa sisältävä 50 nolla-arvoista tapahtumaa yhteensä 4,000 XNUMX luvatonta tapahtumaa yhdessä päivässä.
Harhaanjohtavat osoitteet
Kunkin tapahtuman tarkastelu paljastaa tämän roskapostin motiivin: Hyökkääjä lähettää nolla-arvoisia tapahtumia osoitteisiin, jotka näyttävät hyvin samanlaisilta kuin uhrit aiemmin lähettäneet varoja.
Esimerkiksi Etherscan näyttää, että yksi hyökkääjän kohteena olevista käyttäjäosoitteista on seuraava:
0x20d7f90d9c40901488a935870e1e80127de11d74.
29. tammikuuta tämä tili valtuutti 5,000 XNUMX Tetherin (USDT) lähettämisen tähän vastaanottavaan osoitteeseen:
0xa541efe60f274f813a834afd31e896348810bb09.
Välittömästi tämän jälkeen Fake_Phishing7974 lähetti nolla-arvoisen tapahtuman uhrin lompakosta tähän osoitteeseen:
0xA545c8659B0CD5B426A027509E55220FDa10bB09.
Näiden kahden vastaanottavan osoitteen viisi ensimmäistä merkkiä ja viimeiset kuusi merkkiä ovat täsmälleen samat, mutta keskellä olevat merkit ovat täysin erilaisia. Hyökkääjä saattoi haluta, että käyttäjä lähettää USDT:n tähän toiseen (väärenneeseen) osoitteeseen oikean osoitteen sijaan ja antaisi kolikot hyökkääjälle.
Tässä nimenomaisessa tapauksessa näyttää siltä, että huijaus ei toiminut, koska Etherscan ei näytä tapahtumia tästä osoitteesta johonkin huijarin luomista väärennetyistä osoitteista. Mutta ottaen huomioon tämän tilin tekemien nollaarvotapahtumien määrän, suunnitelma on saattanut toimia muissa tapauksissa.
Lompakot ja lohkotutkijat voivat vaihdella huomattavasti sen suhteen, kuinka tai osoittavatko ne harhaanjohtavia tapahtumia.
Lompakot
Jotkut lompakot eivät välttämättä näytä roskapostitapahtumia ollenkaan. Esimerkiksi MetaMask ei näytä tapahtumahistoriaa, jos se asennetaan uudelleen, vaikka itse tilillä olisi satoja tapahtumia lohkoketjussa. Tämä tarkoittaa, että se tallentaa oman tapahtumahistoriansa sen sijaan, että se vetäisi tietoja lohkoketjusta. Tämän pitäisi estää roskapostitapahtumien näkyminen lompakon tapahtumahistoriassa.
Toisaalta, jos lompakko vetää tietoja suoraan lohkoketjusta, roskapostitapahtumat voivat näkyä lompakon näytössä. SafePalin toimitusjohtaja Veronica Wong ilmoitti Twitterissä 13. joulukuuta varoitti SafePalin käyttäjille, että sen lompakko voi näyttää tapahtumat. Tämän riskin vähentämiseksi hän sanoi, että SafePal muutti tapaa, jolla osoitteet näytetään lompakkonsa uudemmissa versioissa, jotta käyttäjien olisi helpompi tarkastaa osoitteita.
(6/10) Olemme ryhtyneet toimiin tämän johdosta:
1) Viimeisimmässä V3.7.3-päivityksessä säätimme tapahtumahistoriassa näkyvän lompakon osoitteen pituutta. Lompakon osoitteen ensimmäiset ja 10 viimeistä numeroa näytetään oletusarvoisesti osoitteen tutkimisen vuoksi— Veronica (@V_SafePal) Joulukuu 14, 2022
Joulukuussa yksi käyttäjä ilmoitti myös, että hänen Trezor-lompakkonsa oli näyttämällä harhaanjohtavia liiketoimia.
Cointelegraph otti yhteyttä sähköpostitse Trezor-kehittäjä SatoshiLabsiin kommentoidakseen. Vastauksena edustaja totesi, että lompakko vetää tapahtumahistoriansa suoraan lohkoketjusta "aina kun käyttäjät kytkevät Trezor-lompakkonsa".
Tiimi kuitenkin ryhtyy toimiin suojellakseen käyttäjiä huijaukselta. Tulevassa Trezor Suite -päivityksessä ohjelmisto "merkitsee epäilyttävät nolla-arvotapahtumat, jotta käyttäjät saavat varoituksen, että tällaiset tapahtumat ovat mahdollisesti vilpillisiä". Yhtiö totesi myös, että lompakko näyttää aina jokaisen tapahtuman täydellisen osoitteen ja että he "suosittelevat, että käyttäjät tarkistavat aina koko osoitteen, ei vain ensimmäistä ja viimeistä merkkiä."
Estä tutkimusmatkailijat
Lompakoiden lisäksi lohkotutkijat ovat toinen ohjelmistotyyppi, jota voidaan käyttää tapahtumahistorian tarkastelemiseen. Jotkut tutkimusmatkailijat voivat näyttää nämä tapahtumat tavalla, joka johtaa vahingossa käyttäjiä harhaan, aivan kuten jotkut lompakot tekevät.
Tämän uhan lieventämiseksi Etherscan on alkanut muuttaa harmaaksi nolla-arvoiset tunnukset, joita käyttäjä ei ole käynnistänyt. Se myös merkitsee nämä tapahtumat varoituksella, joka sanoo: "Tämä on toisen osoitteen aloittama nolla-arvon siirto", kuten alla oleva kuva osoittaa.
Muut lohkotutkijat ovat saattaneet ryhtyä samoihin vaiheisiin kuin Etherscan varoittaakseen käyttäjiä näistä tapahtumista, mutta jotkut eivät ehkä ole vielä toteuttaneet näitä vaiheita.
Vinkkejä "nolla-arvon TransferFrom" -tempun välttämiseen
Cointelegraph pyysi SlowMistiltä neuvoja, kuinka välttää "nolla-arvon TransferFrom" -tempun uhri.
Yrityksen edustaja antoi Cointelegraphille listan vinkeistä, joiden avulla voit välttää joutumasta hyökkäyksen uhriksi:
- "Ole varovainen ja tarkista osoite ennen tapahtumien suorittamista."
- "Hyödynnä lompakkosi sallittujen listatoimintoa estääksesi varojen lähettämisen vääriin osoitteisiin."
- "Pysy valppaana ja ajan tasalla. Jos kohtaat epäilyttäviä siirtoja, ota aikaa ja tutki asia rauhallisesti, jotta et joudu huijareiden uhriksi.
- "Säilytä tervettä skeptisyyttä, pysy aina varovaisena ja valppaana."
Tämän neuvon perusteella tärkein asia krypton käyttäjien muistaa on tarkistaa osoite aina ennen krypton lähettämistä siihen. Vaikka tapahtumatietue näyttäisi viittaavan siihen, että olet lähettänyt krypton osoitteeseen aiemmin, tämä ilme voi olla harhaanjohtava.
Lähde: https://cointelegraph.com/news/scammers-are-targeting-crypto-users-with-new-zero-value-transferfrom-trick