Bitcoin(BTC)$84,125.003.18%
Ethereum(ETH)$1,938.352.13%
Tether(USDT)$1.00-0.01%
XRP(XRP)$2.255.64%
BNB(BNB)$563.843.24%
Solana(SOL)$129.744.60%
USDC(USDC)$1.000.00%
Cardano(ADA)$0.764.68%
Dogecoin(DOGE)$0.1721427.42%
TRON(TRX)$0.223754-2.01%
Шахраї націлюються на користувачів криптовалюти за допомогою нового трюку «TransferFrom з нульовою вартістю».
Дані Etherscan показують, що деякі криптошахраї націлюються на користувачів за допомогою нового трюку, який дозволяє їм підтвердити транзакцію з гаманця жертви, але не маючи закритого ключа жертви. Атаку можна здійснити лише для транзакцій нульовою вартістю. Однак це може призвести до того, що деякі користувачі випадково надішлють маркери зловмиснику в результаті вирізання та вставлення з історії транзакцій, яка була викрадена.
Фірма безпеки блокчейнів SlowMist виявлено нову техніку в грудні та розкрив її в дописі в блозі. З тих пір і SafePal, і Etherscan застосували методи пом’якшення, щоб обмежити його вплив на користувачів, але деякі користувачі все ще можуть не знати про його існування.
Нещодавно ми отримали повідомлення від спільноти про новий тип шахрайства: шахрайство з нульовим переказом. Будьте обережні, якщо ви бачите підозрілий переказ 0 у своєму гаманці:
1/10
— Вероніка (@V_SafePal) 14 грудня 2022 р
Відповідно до повідомлення від SlowMist, шахрайство працює шляхом надсилання транзакції з нульовими токенами з гаманця жертви на адресу, схожу на ту, на яку жертва раніше надсилала токени.
Наприклад, якщо жертва надіслала 100 монет на адресу обмінного депозиту, зловмисник може надіслати нуль монет із гаманця жертви на адресу, яка виглядає схожою, але фактично знаходиться під контролем зловмисника. Жертва може побачити цю транзакцію у своїй історії транзакцій і зробити висновок, що показана адреса є правильною адресою депозиту. У результаті вони можуть відправити свої монети безпосередньо зловмиснику.
Надсилання транзакції без дозволу власника
За звичайних обставин зловмиснику потрібен закритий ключ жертви, щоб відправити транзакцію з гаманця жертви. Але функція «контрактної вкладки» Etherscan показує, що в деяких контрактах токенів є лазівка, яка може дозволити зловмиснику відправити транзакцію з будь-якого гаманця.
Наприклад, код монети USD (USDC) на Etherscan шоу що функція «TransferFrom» дозволяє будь-якій особі переміщувати монети з гаманця іншої особи, якщо сума монет, яку вони надсилають, менша або дорівнює сумі, дозволеній власником адреси.
Зазвичай це означає, що зловмисник не може здійснити транзакцію з адреси іншої особи, якщо власник не схвалить для нього дозвіл.
Однак у цьому обмеженні є лазівка. Дозволена сума визначається як число (називається «тип uint256»), що означає, що вона інтерпретується як нуль, якщо спеціально не встановлено інше число. Це можна побачити у функції «надбавка».
У результаті, поки вартість транзакції зловмисника менше або дорівнює нулю, вони можуть відправити транзакцію з абсолютно будь-якого гаманця, який їм заманеться, не потребуючи закритого ключа або попереднього схвалення від власника.
USDC — не єдиний токен, який дозволяє це зробити. Подібний код можна знайти в більшості контрактів на токени. Це навіть може бути знайдено у прикладах контрактів, посилання на які є на офіційному веб-сайті Ethereum Foundation.
Приклади шахрайства з переказом нульової вартості
Etherscan показує, що деякі адреси гаманців надсилають тисячі транзакцій з нульовою вартістю щодня з гаманців різних жертв без їхньої згоди.
Наприклад, обліковий запис із позначкою Fake_Phishing7974 використовував неперевірений смарт-контракт для виконувати понад 80 пакетів транзакцій 12 січня з кожним пакетом містить 50 транзакцій нульової вартості загалом 4000 несанкціонованих транзакцій за один день.
Оманливі адреси
Розглядаючи кожну транзакцію ближче, можна виявити мотив цього спаму: зловмисник надсилає транзакції з нульовою вартістю на адреси, які дуже схожі на адреси, на які жертви раніше надсилали кошти.
Наприклад, Etherscan показує, що одна з адрес користувачів, на яку націлений зловмисник, така:
0x20d7f90d9c40901488a935870e1e80127de11d74.
29 січня цей обліковий запис дозволив надіслати 5000 Tether (USDT) на цю адресу отримання:
0xa541efe60f274f813a834afd31e896348810bb09.
Відразу після цього Fake_Phishing7974 відправив транзакцію нульової вартості з гаманця жертви на цю адресу:
0xA545c8659B0CD5B426A027509E55220FDa10bB09.
Перші п’ять символів і останні шість символів цих двох адрес отримання абсолютно однакові, але символи в середині абсолютно різні. Можливо, зловмисник мав на меті, щоб користувач надіслав USDT на цю другу (фальшиву) адресу замість справжньої, віддавши свої монети зловмиснику.
У цьому конкретному випадку здається, що шахрайство не спрацювало, оскільки Etherscan не показує жодних транзакцій із цієї адреси на одну з підроблених адрес, створених шахраєм. Але враховуючи обсяг транзакцій з нульовою вартістю, здійснених цим обліковим записом, план міг спрацювати в інших випадках.
Гаманці та дослідники блоків можуть суттєво відрізнятися щодо того, як і чи вони показують оманливі транзакції.
Гаманці
Деякі гаманці можуть взагалі не відображати спам-транзакції. Наприклад, MetaMask не показує історії транзакцій, якщо його перевстановити, навіть якщо в самому обліковому записі є сотні транзакцій у блокчейні. Це означає, що він зберігає власну історію транзакцій, а не витягує дані з блокчейну. Це має запобігти відображенню спам-транзакцій в історії транзакцій гаманця.
З іншого боку, якщо гаманець отримує дані безпосередньо з блокчейну, спам-транзакції можуть відображатися на дисплеї гаманця. У повідомленні в Twitter від 13 грудня генеральний директор SafePal Вероніка Вонг попереджений Користувачі SafePal вважають, що його гаманець може відображати транзакції. Щоб зменшити цей ризик, вона сказала, що SafePal змінює спосіб відображення адрес у новіших версіях свого гаманця, щоб користувачам було легше перевіряти адреси.
(6/10) У зв’язку з цим ми вжили заходів:
1) В останньому оновленні V3.7.3 ми відкоригували довжину адреси гаманця, яка відображається в історії транзакцій. Перші та останні 10 цифр адреси гаманця відображатимуться за замовчуванням для перевірки адреси— Вероніка (@V_SafePal) 14 грудня 2022 р
У грудні один користувач також повідомив, що його гаманець Trezor був таким відображення операції, що вводять в оману.
Cointelegraph зв’язався електронною поштою з SatoshiLabs, розробником Trezor, щоб отримати коментар. У відповідь представник заявив, що гаманець отримує історію транзакцій безпосередньо з блокчейну «щоразу, коли користувачі підключають свій гаманець Trezor».
Однак команда вживає заходів, щоб захистити користувачів від шахрайства. У майбутньому оновленні Trezor Suite програмне забезпечення «позначатиме підозрілі транзакції з нульовою вартістю, щоб користувачі отримували сповіщення про те, що такі транзакції є потенційно шахрайськими». Компанія також заявила, що гаманець завжди відображає повну адресу кожної транзакції, і що вони «наполегливо рекомендують користувачам завжди перевіряти повну адресу, а не лише перший і останній символи».
Блокувати дослідники
Окрім гаманців, дослідники блоків є іншим типом програмного забезпечення, яке можна використовувати для перегляду історії транзакцій. Деякі дослідники можуть відображати ці транзакції таким чином, щоб ненавмисно вводити користувачів в оману, як це роблять деякі гаманці.
Щоб пом’якшити цю загрозу, Etherscan почав виділяти транзакції з токенами нульової вартості, які не ініціює користувач. Він також позначає ці транзакції сповіщенням, яке говорить: «Це передача токена нульової вартості, ініційована іншою адресою», про що свідчить зображення нижче.
Інші дослідники блоків могли вжити тих самих кроків, що й Etherscan, щоб попередити користувачів про ці транзакції, але деякі з них, можливо, ще не реалізували ці кроки.
Поради щодо уникнення трюку «TransferFrom з нульовим значенням».
Cointelegraph звернувся до SlowMist за порадою щодо того, як не стати жертвою трюку «TransferFrom з нульовою вартістю».
Представник компанії дав Cointelegraph список порад, як не стати жертвою атаки:
- «Будьте обережні та перевіряйте адресу перед виконанням будь-яких операцій».
- «Використовуйте функцію білого списку у своєму гаманці, щоб запобігти надсиланню коштів на неправильні адреси».
- «Будьте пильні та поінформовані. Якщо ви зіткнетеся з будь-якими підозрілими переказами, знайдіть час, щоб спокійно дослідити справу, щоб не стати жертвою шахраїв».
- «Зберігайте здоровий рівень скептицизму, завжди залишайтеся обережними та пильними».
Судячи з цієї поради, найважливіше, про що слід пам’ятати користувачам крипто — це завжди перевіряти адресу перед тим, як надсилати на нього крипто. Навіть якщо в записі про транзакцію здається, що ви надсилали криптовалюту на цю адресу раніше, це може бути оманливим.
