Etherscani andmed näitavad, et mõned krüptopetturid sihivad kasutajaid uue nipiga, mis võimaldab neil tehingut ohvri rahakotist kinnitada, kuid ilma ohvri privaatvõtit omamata. Rünnakut saab sooritada ainult 0 väärtusega tehingute puhul. Siiski võivad mõned kasutajad kaaperdatud tehingute ajaloost väljalõikamise ja kleepimise tõttu kogemata ründajale žetoone saata.
Blockchaini turvafirma SlowMist avastasin detsembris uut tehnikat ja paljastas selle blogipostituses. Sellest ajast alates on nii SafePal kui ka Etherscan võtnud kasutusele leevendustehnikad, et piirata selle mõju kasutajatele, kuid mõned kasutajad ei pruugi selle olemasolust ikka veel teadlikud olla.
Hiljuti oleme saanud kogukonnalt teateid uut tüüpi kelmuse kohta: Nullülekande kelmus. Olge ettevaatlik, kui näete oma rahakoti kirjes kahtlast 0 ülekannet:
1/10
— Veronica (@V_SafePal) Detsember 14, 2022
SlowMisti postituse kohaselt toimib pettus nii, et ohvri rahakotist saadetakse nullmärgiga tehing aadressile, mis näeb välja sarnane sellele, millele ohver oli varem märgid saatnud.
Näiteks kui ohver saatis vahetushoiuse aadressile 100 münti, võib ründaja saata ohvri rahakotist null münti aadressile, mis näeb välja sarnane, kuid on tegelikult ründaja kontrolli all. Ohver võib seda tehingut oma tehinguajaloos näha ja järeldada, et näidatud aadress on õige sissemakse aadress. Selle tulemusena võivad nad saata oma mündid otse ründajale.
Tehingu saatmine ilma omaniku loata
Tavaolukorras vajab ründaja ohvri rahakotist tehingu saatmiseks ohvri privaatvõtit. Kuid Etherscani lepingute vahekaart näitab, et mõnes märgilepingus on lünk, mis võimaldab ründajal saata tehingu mis tahes rahakotist.
Näiteks USD Coin (USDC) kood Etherscanis näitab et "TransferFrom" funktsioon võimaldab igal inimesel teisaldada münte teise inimese rahakotist seni, kuni tema saadetavate müntide kogus on väiksem või võrdne aadressi omaniku lubatud summaga.
Tavaliselt tähendab see seda, et ründaja ei saa teha tehingut teise inimese aadressil, kui omanik ei ole heaks kiitnud nende jaoks soodustust.
Selles piirangus on aga lünk. Lubatud summa määratletakse arvuna (nimetatakse "uint256 tüübiks"), mis tähendab, et seda tõlgendatakse nullina, välja arvatud juhul, kui see on konkreetselt määratud mõnele muule numbrile. Seda on näha funktsioonis "toetus".
Selle tulemusena saavad nad seni, kuni ründaja tehingu väärtus on nullist väiksem või sellega võrdne, saata tehingu absoluutselt mis tahes rahakotist, ilma et oleks vaja privaatvõtit või omaniku eelnevat nõusolekut.
USDC pole ainus märk, mis seda teha võimaldab. Sarnast koodi võib leida enamikust märgilepingutest. See võib isegi olla avastatud Ethereumi fondi ametlikult veebisaidilt lingitud lepingute näidetes.
Nullväärtuse ülekandmise pettuse näited
Etherscan näitab, et mõned rahakoti aadressid saadavad erinevate ohvrite rahakotist ilma nende nõusolekuta tuhandeid nullväärtusega tehinguid päevas.
Näiteks kasutas konto nimega Fake_Phishing7974 kinnitamata nutikat lepingut täitma 80. jaanuaril üle 12 tehingukimbu, iga kimbuga sisaldav Ühe päeva jooksul 50 nullväärtusega tehingut kokku 4,000 volitamata tehinguga.
Eksitavad aadressid
Iga tehingut lähemalt vaadates selgub selle rämpsposti motiiv: ründaja saadab nullväärtusega tehinguid aadressidele, mis näevad välja väga sarnased nendega, millele ohvrid varem raha saatsid.
Näiteks näitab Etherscan, et üks ründaja sihitud kasutaja aadressidest on järgmine:
0x20d7f90d9c40901488a935870e1e80127de11d74.
29. jaanuaril andis see konto loa 5,000 Tetheri (USDT) saatmiseks sellele vastuvõtuaadressile:
0xa541efe60f274f813a834afd31e896348810bb09.
Vahetult pärast seda saatis Fake_Phishing7974 ohvri rahakotist nullväärtusega tehingu sellele aadressile:
0xA545c8659B0CD5B426A027509E55220FDa10bB09.
Nende kahe vastuvõtuaadressi esimesed viis ja kuus viimast märki on täpselt samad, kuid keskel olevad märgid on kõik täiesti erinevad. Ründaja võis tahta, et kasutaja saadaks USDT sellele teisele (võlts)aadressile, mitte päris aadressile, andes oma mündid ründajale.
Sel konkreetsel juhul näib, et kelmus ei toiminud, kuna Etherscan ei näita sellelt aadressilt ühtegi tehingut ühele petturi loodud võltsaadressile. Kuid arvestades selle konto nullväärtusega tehingute mahtu, võis plaan ka muudel juhtudel toimida.
Rahakotid ja plokkide uurijad võivad oluliselt erineda selle poolest, kuidas või kas need näitavad eksitavaid tehinguid.
Rahakotid
Mõned rahakotid ei pruugi rämpspostitehinguid üldse näidata. Näiteks ei näita MetaMask uuesti installimisel tehingute ajalugu, isegi kui kontol endal on plokiahelas sadu tehinguid. See tähendab, et ta salvestab oma tehingute ajaloo, mitte ei tõmba andmeid plokiahelast. See peaks takistama rämpspostitehingute ilmumist rahakoti tehinguajaloos.
Teisest küljest, kui rahakott tõmbab andmed otse plokiahelast, võivad rämpspostitehingud ilmuda rahakoti ekraanile. SafePali tegevjuht Veronica Wong 13. detsembri teates Twitteris hoiatas SafePali kasutajatele, et selle rahakott võib tehinguid kuvada. Selle riski vähendamiseks ütles ta, et SafePal muudab aadresside kuvamise viisi oma rahakoti uuemates versioonides, et kasutajatel oleks lihtsam aadresse kontrollida.
(6/10) Oleme võtnud kasutusele meetmed:
1) Viimases V3.7.3 värskenduses kohandasime tehinguajaloos kuvatava rahakoti aadressi pikkust. Vaikimisi kuvatakse aadressi kontrollimise huvides rahakoti aadressi esimene ja viimane 10 numbrit— Veronica (@V_SafePal) Detsember 14, 2022
Detsembris teatas ka üks kasutaja, et tema Trezori rahakott oli väljapanek eksitavad tehingud.
Cointelegraph pöördus kommentaari saamiseks e-posti teel Trezori arendaja SatoshiLabsi poole. Vastuseks teatas esindaja, et rahakott tõmbab oma tehingute ajaloo otse plokiahelast "iga kord, kui kasutajad ühendavad oma Trezori rahakoti".
Kuid meeskond astub samme, et kaitsta kasutajaid kelmuse eest. Tulevases Trezor Suite'i värskenduses märgib tarkvara kahtlased nullväärtusega tehingud, nii et kasutajaid hoiatatakse, et sellised tehingud võivad olla petturlikud. Ettevõte teatas ka, et rahakott kuvab alati iga tehingu täieliku aadressi ja et nad "soovitavad kasutajatel alati kontrollida täielikku aadressi, mitte ainult esimest ja viimast tähemärki."
Blokeerige maadeavastajad
Peale rahakottide on plokiuurijad teist tüüpi tarkvara, mida saab kasutada tehinguajaloo vaatamiseks. Mõned avastajad võivad neid tehinguid kuvada viisil, mis kasutajaid tahtmatult eksitab, nagu seda teevad mõned rahakotid.
Selle ohu leevendamiseks on Etherscan hakanud hallitama nullväärtusega märgitehinguid, mida kasutaja ei algata. Samuti märgib see need tehingud hoiatusega, mis ütleb: "See on nullväärtusega loa ülekanne, mille on algatanud teine aadress", nagu näitab allolev pilt.
Teised plokiuurijad võisid kasutajate nende tehingute eest hoiatamiseks astunud samu samme nagu Etherscan, kuid mõned ei pruugi neid samme veel rakendada.
Näpunäiteid nullväärtuse ülekande nipi vältimiseks
Cointelegraph pöördus SlowMisti poole, et saada nõu, kuidas vältida „nullväärtusega TransferFromi” triki ohvriks langemist.
Ettevõtte esindaja andis Cointelegraphile nimekirja näpunäidetest, kuidas vältida rünnaku ohvriks langemist:
- "Olge ettevaatlik ja kontrollige aadressi enne mis tahes tehingu sooritamist."
- "Kasutage oma rahakoti valge nimekirja funktsiooni, et vältida raha saatmist valedele aadressidele."
- "Olge valvsad ja kursis. Kahtlaste ülekannete ilmnemisel leidke aega, et asja rahulikult uurida, et vältida petturite ohvriks langemist.
- "Säilitage tervislik skeptitsismi tase, olge alati ettevaatlik ja valvas."
Selle nõuande põhjal otsustades on krüptokasutajate jaoks kõige olulisem meeles pidada alati aadressi enne krüpto saatmist. Isegi kui tehingukirje näib viitavat sellele, et olete sellele aadressile varem krüpto saatnud, võib see välimus olla petlik.
Allikas: https://cointelegraph.com/news/scammers-are-targeting-crypto-users-with-new-zero-value-transferfrom-trick