Подаци из Етхерсцан-а показују да неки крипто преваранти циљају кориснике са новим триком који им омогућава да потврде трансакцију из новчаника жртве, али без поседовања приватног кључа жртве. Напад се може извршити само за трансакције вредности 0. Међутим, то може узроковати да неки корисници случајно пошаљу токене нападачу као резултат сечења и лепљења из отете историје трансакција.
Блоцкцхаин безбедносна фирма СловМист открио нову технику у децембру и открио је у посту на блогу. Од тада, и СафеПал и Етхерсцан су усвојили технике ублажавања како би ограничили његов утицај на кориснике, али неки корисници можда још увек нису свесни његовог постојања.
Недавно смо од заједнице примили извештаје о новој врсти преваре: превара са нултим трансфером. Будите пажљиви ако видите сумњиви 0 трансфер у евиденцији новчаника:
1/10
— Вероника (@В_СафеПал) Декабрь 14, 2022
Према објави из СловМист-а, превара функционише тако што се трансакција од нула токена из новчаника жртве шаље на адресу која изгледа слично оној на коју је жртва претходно послала токене.
На пример, ако је жртва послала 100 новчића на адресу размене депозита, нападач може послати нула новчића из новчаника жртве на адресу која изгледа слично, али која је, у ствари, под контролом нападача. Жртва може видети ову трансакцију у својој историји трансакција и закључити да је приказана адреса тачна адреса депозита. Као резултат тога, они могу послати своје новчиће директно нападачу.
Слање трансакције без дозволе власника
У нормалним околностима, нападачу је потребан приватни кључ жртве да би послао трансакцију из новчаника жртве. Али Етхерсцан-ова функција „картица уговора“ открива да постоји рупа у неким уговорима о токенима која може дозволити нападачу да пошаље трансакцију из било ког новчаника.
На пример, код за УСД Цоин (УСДЦ) на Етхерсцан-у показује да функција „ТрансферФром“ омогућава било којој особи да премести новчиће из новчаника друге особе све док је количина новчића коју шаљу мања или једнака износу који дозвољава власник адресе.
То обично значи да нападач не може да изврши трансакцију са адресе друге особе осим ако власник не одобри дозволу за њих.
Међутим, постоји рупа у овом ограничењу. Дозвољени износ је дефинисан као број (назван „тип уинт256“), што значи да се тумачи као нула осим ако није посебно подешен на неки други број. Ово се може видети у функцији „дозвоља“.
Као резултат тога, све док је вредност нападачеве трансакције мања или једнака нули, они могу да пошаљу трансакцију из апсолутно било ког новчаника који желе, без потребе за приватним кључем или претходном одобрењем власника.
УСДЦ није једини токен који дозвољава да се то уради. Сличан код се може наћи у већини токенских уговора. Чак може бити фоунд у примерима уговора који су повезани са званичне веб странице Етхереум фондације.
Примери преваре са трансфером нулте вредности
Етхерсцан показује да неке адресе новчаника шаљу хиљаде трансакција нулте вредности дневно из новчаника различитих жртава без њиховог пристанка.
На пример, налог са ознаком Факе_Пхисхинг7974 користио је непроверени паметни уговор за извршити више од 80 пакета трансакција 12. јануара, са сваким пакетом који садржи 50 трансакција нулте вредности за укупно 4,000 неовлашћених трансакција у једном дану.
Обмањујуће адресе
Детаљније посматрање сваке трансакције открива мотив ове нежељене поште: Нападач шаље трансакције нулте вредности на адресе које изгледају веома сличне онима на које су жртве претходно слале средства.
На пример, Етхерсцан показује да је једна од корисничких адреса које нападач циља следећа:
0x20d7f90d9c40901488a935870e1e80127de11d74.
Дана 29. јануара, овај налог је овластио 5,000 Тетхер (УСДТ) за слање на ову адресу:
0xa541efe60f274f813a834afd31e896348810bb09.
Факе_Пхисхинг7974 је одмах након тога послао трансакцију нулте вредности из новчаника жртве на ову адресу:
0xA545c8659B0CD5B426A027509E55220FDa10bB09.
Првих пет знакова и последњих шест знакова ове две адресе примања су потпуно исти, али су сви знакови у средини потпуно различити. Нападач је можда намеравао да корисник пошаље УСДТ на ову другу (лажну) адресу уместо на праву, дајући своје новчиће нападачу.
У овом конкретном случају, изгледа да превара није успела, пошто Етхерсцан не приказује никакве трансакције са ове адресе на једну од лажних адреса које је направио преварант. Али с обзиром на обим трансакција нулте вредности које је обавио овај рачун, план је можда функционисао у другим случајевима.
Новчаници и истраживачи блокова могу значајно да се разликују у погледу тога како и да ли приказују обмањујуће трансакције.
Новчаници
Неки новчаници можда уопште не приказују нежељене трансакције. На пример, МетаМаск не приказује историју трансакција ако је поново инсталиран, чак и ако сам налог има стотине трансакција на блоцкцхаину. Ово имплицира да чува сопствену историју трансакција уместо да повлачи податке из блоцкцхаина. Ово би требало да спречи нежељене трансакције да се прикажу у историји трансакција новчаника.
С друге стране, ако новчаник извлачи податке директно из блоцкцхаина, нежељене трансакције се могу појавити на екрану новчаника. У саопштењу од 13. децембра на Твитеру, извршна директорка СафеПал-а Вероника Вонг упозорио СафеПал корисници да његов новчаник може да прикаже трансакције. Како би ублажила овај ризик, рекла је да СафеПал мења начин на који се адресе приказују у новијим верзијама свог новчаника како би корисницима олакшао преглед адреса.
(6/10) По овоме смо предузели радње:
1) У најновијем ажурирању В3.7.3, прилагодили смо дужину адресе новчаника која се приказује у историји трансакција. Првих и последњих 10 цифара адресе новчаника биће приказани подразумевано, ради провере адресе— Вероника (@В_СафеПал) Декабрь 14, 2022
У децембру је један корисник такође пријавио да је њихов Трезор новчаник приказивање обмањујуће трансакције.
Цоинтелеграпх се путем е-поште обратио Трезор програмеру СатосхиЛабс за коментар. У одговору, представник је изјавио да новчаник извлачи своју историју трансакција директно из блоцкцхаина „сваки пут када корисници укључе свој Трезор новчаник“.
Међутим, тим предузима кораке да заштити кориснике од преваре. У предстојећем ажурирању пакета Трезор, софтвер ће „означити сумњиве трансакције нулте вредности како би корисници били упозорени да су такве трансакције потенцијално лажне“. Компанија је такође навела да новчаник увек приказује пуну адресу сваке трансакције и да „спретно препоручују да корисници увек проверавају пуну адресу, а не само први и последњи карактер.
Истраживачи блокова
Поред новчаника, истраживачи блокова су још један тип софтвера који се може користити за преглед историје трансакција. Неки истраживачи могу приказати ове трансакције на такав начин да ненамерно обману кориснике, баш као што то чине неки новчаници.
Да би ублажио ову претњу, Етхерсцан је почео да затамњује трансакције токена нулте вредности које није покренуо корисник. Такође означава ове трансакције упозорењем које каже: „Ово је пренос токена нулте вредности који је покренула друга адреса“, као што је приказано на слици испод.
Други истраживачи блокова су можда предузели исте кораке као Етхерсцан да би упозорили кориснике на ове трансакције, али неки можда још нису применили ове кораке.
Савети за избегавање трика „Пренос са нулте вредности“.
Цоинтелеграпх се обратио СловМист-у за савет како да избегнете да постанете плен трика „Пренос са нулте вредности“.
Представник компаније дао је Цоинтелеграпху листу савета како да не постанете жртва напада:
- „Будите опрезни и проверите адресу пре него што извршите било какву трансакцију.“
- „Користите функцију беле листе у свом новчанику да спречите слање средстава на погрешне адресе.“
- „Останите опрезни и информисани. Ако наиђете на било какве сумњиве трансфере, одвојите време да мирно истражите ствар како не бисте постали жртва преваранта.”
- „Одржавајте здрав ниво скептицизма, увек останите опрезни и будни.
Судећи по овом савету, најважније је да корисници криптовалуте упамте је да увек провере адресу пре него што јој пошаљу крипто. Чак и ако се чини да запис трансакције имплицира да сте раније послали криптовалуте на адресу, овај изглед може варати.
Извор: хттпс://цоинтелеграпх.цом/невс/сцаммерс-аре-таргетинг-црипто-усерс-витх-нев-зеро-валуе-трансферфром-трицк