Etherscan деректері кейбір криптографиялық алаяқтар жәбірленушінің әмиянынан транзакцияны растауға мүмкіндік беретін, бірақ жәбірленушінің жеке кілтіне ие болмай-ақ жаңа трюкпен пайдаланушыларға бағытталғанын көрсетеді. Шабуыл тек 0 мәні бар транзакциялар үшін орындалуы мүмкін. Дегенмен, бұл кейбір пайдаланушылардың ұрланған транзакция тарихынан кесу және қою нәтижесінде шабуылдаушыға кездейсоқ белгілерді жіберуіне себеп болуы мүмкін.
Blockchain қауіпсіздік фирмасы SlowMist Табылды желтоқсанда жаңа техниканы ашты және оны блог жазбасында ашты. Содан бері SafePal және Etherscan екеуі де оның пайдаланушыларға әсерін шектеу үшін жұмсарту әдістерін қабылдады, бірақ кейбір пайдаланушылар оның бар екенін әлі де білмеуі мүмкін.
Жақында біз қауымдастықта алаяқтықтың жаңа түрі туралы есеп алдық: Zero Transfer Scam. Әмиян жазбаңызда күдікті 0 аударымын көрсеңіз, абай болыңыз:
1/10
— Вероника (@V_SafePal) Желтоқсан 14, 2022
SlowMist хабарламасына сәйкес, алаяқтық жәбірленушінің әмиянынан жәбірленуші бұрын токендерді жіберген мекен-жайға ұқсас мекенжайға нөлдік белгілерден тұратын транзакция жіберу арқылы жұмыс істейді.
Мысалы, егер жәбірленуші айырбастау депозитінің мекенжайына 100 тиын жіберсе, шабуылдаушы жәбірленушінің әмиянынан ұқсас көрінетін, бірақ іс жүзінде шабуылдаушының бақылауындағы мекенжайға нөлдік тиын жіберуі мүмкін. Жәбірленуші бұл транзакцияны транзакция тарихында көріп, көрсетілген мекенжай дұрыс депозит мекенжайы деген қорытындыға келуі мүмкін. Нәтижесінде олар тиындарын тікелей шабуылдаушыға жібере алады.
Иесінің рұқсатынсыз транзакция жіберу
Қалыпты жағдайда шабуылдаушы жәбірленушінің әмиянынан транзакция жіберу үшін жәбірленушінің жеке кілтін қажет етеді. Бірақ Etherscan-тың «келісімшарт қойындысы» мүмкіндігі кейбір таңбалауыш келісім-шарттарында шабуылдаушыға кез келген әмияннан транзакция жіберуге мүмкіндік беретін бос орын бар екенін көрсетеді.
Мысалы, Etherscan жүйесіндегі USD Coin (USDC) коды шоу «TransferFrom» функциясы кез келген адамға басқа адамның әмиянынан тиындарды жылжытуға мүмкіндік береді, егер олар жіберетін монеталардың мөлшері мекенжай иесі рұқсат берген сомадан аз немесе оған тең болса.
Бұл әдетте шабуылдаушы басқа тұлғаның мекенжайынан транзакция жасай алмайтынын білдіреді, егер иесі олар үшін жеңілдікті бекітпейінше.
Дегенмен, бұл шектеуде олқылық бар. Рұқсат етілген сома сан ретінде анықталады («uint256 түрі» деп аталады), яғни ол басқа санға арнайы орнатылмаған болса, ол нөл ретінде түсіндіріледі. Мұны «жәрдемақы» функциясынан көруге болады.
Нәтижесінде, шабуылдаушы транзакциясының құны нөлден аз немесе оған тең болса, олар жеке кілтті немесе иесінің алдын ала рұқсатын қажет етпей-ақ, олар қалаған кез келген әмияннан транзакцияны жібере алады.
USDC мұны жасауға мүмкіндік беретін жалғыз белгі емес. Ұқсас кодты көптеген токен келісімшарттарында табуға болады. Тіпті болуы мүмкін табылған мысалда Ethereum қорының ресми веб-сайтынан сілтеме жасалған келісімшарттар.
Нөлдік мәнді аудару алаяқтығының мысалдары
Etherscan кейбір әмиян мекенжайлары әртүрлі құрбандардың әмияндарынан олардың келісімінсіз күніне мыңдаған нөлдік транзакцияларды жіберетінін көрсетеді.
Мысалы, Fake_Phishing7974 деп белгіленген тіркелгі расталмаған смарт келісімшартты пайдаланды орындау 80 қаңтарда әрбір пакетпен 12-ден астам транзакциялар дестелері бар Бір күнде барлығы 50 рұқсат етілмеген транзакцияға арналған нөлдік құны бар 4,000 транзакция.
Жалған мекенжайлар
Әрбір транзакцияны мұқият қарастыру бұл спамның себебін анықтайды: шабуылдаушы нөлдік құны бар транзакцияларды құрбандар бұрын ақша жіберген мекенжайларға өте ұқсас мекенжайларға жібереді.
Мысалы, Etherscan шабуылдаушы мақсатты пайдаланушы мекенжайларының бірі келесі екенін көрсетеді:
0x20d7f90d9c40901488a935870e1e80127de11d74.
29 қаңтарда бұл тіркелгі 5,000 XNUMX Tether (USDT) осы алушы мекенжайға жіберілуге рұқсат берді:
0xa541efe60f274f813a834afd31e896348810bb09.
Бірден Fake_Phishing7974 жәбірленушінің әмиянынан нөлдік құны бар транзакцияны мына мекенжайға жіберді:
0xA545c8659B0CD5B426A027509E55220FDa10bB09.
Осы екі қабылдау мекенжайының алғашқы бес таңбасы мен соңғы алты таңбасы тура бірдей, бірақ ортасындағы таңбалардың барлығы мүлдем басқаша. Шабуылдаушы пайдаланушыға өзінің тиындарын шабуылдаушыға беріп, нақты мекенжайдың орнына осы екінші (жалған) мекенжайға USDT жіберуді көздеген болуы мүмкін.
Бұл нақты жағдайда алаяқтық жұмыс істемеген сияқты, өйткені Etherscan бұл мекенжайдан алаяқ жасаған жалған мекенжайлардың біріне ешқандай транзакцияларды көрсетпейді. Бірақ осы шот арқылы жасалған нөлдік құны бар транзакциялардың көлемін ескере отырып, жоспар басқа жағдайларда жұмыс істеген болуы мүмкін.
Әмияндар мен блок зерттеушілері жаңылыстыратын транзакцияларды қалай көрсететініне немесе көрсететініне байланысты айтарлықтай әртүрлі болуы мүмкін.
әмияныңызда
Кейбір әмияндар спам транзакцияларын мүлдем көрсетпеуі мүмкін. Мысалы, MetaMask егер ол қайта орнатылған болса, тіпті тіркелгінің өзінде блокчейндегі жүздеген транзакциялар болса да, транзакция тарихын көрсетпейді. Бұл блокчейннен деректерді алудың орнына өзінің транзакция тарихын сақтайтынын білдіреді. Бұл әмиянның транзакциялар тарихында спам транзакцияларының көрсетілуіне жол бермеуі керек.
Екінші жағынан, егер әмиян деректерді тікелей блокчейннен шығарса, спам транзакциялары әмиянның дисплейінде көрсетілуі мүмкін. 13 желтоқсанда Twitter-дегі хабарландыруда SafePal бас директоры Вероника Вонг ескертті SafePal пайдаланушылары оның әмияны транзакцияларды көрсете алады. Бұл тәуекелді азайту үшін ол SafePal пайдаланушыларға мекенжайларды тексеруді жеңілдету үшін оның әмиянының жаңа нұсқаларында мекенжайларды көрсету әдісін өзгертіп жатқанын айтты.
(6/10) Осыған байланысты біз келесі әрекеттерді жасадық:
1) Соңғы V3.7.3 жаңартуында біз транзакция тарихында көрсетілетін әмиян мекенжайының ұзындығын реттедік. Әмиян мекенжайының бірінші және соңғы 10 саны мекенжайды тексеру үшін әдепкіде көрсетіледі.— Вероника (@V_SafePal) Желтоқсан 14, 2022
Желтоқсан айында бір қолданушы Trezor әмиянының болғанын хабарлады көрсету жаңылыстыратын транзакциялар.
Cointelegraph түсініктеме алу үшін Trezor әзірлеушісі SatoshiLabs-қа электрондық пошта арқылы хабарласты. Жауап ретінде өкіл әмиян транзакция тарихын «пайдаланушылар Trezor әмиянына қосқан сайын» тікелей блокчейннен алып тастайтынын айтты.
Дегенмен, команда пайдаланушыларды алаяқтықтан қорғау үшін шаралар қабылдауда. Алдағы Trezor Suite жаңартуында бағдарламалық жасақтама «күдікті нөлдік транзакцияларды белгілейді, осылайша пайдаланушылар мұндай транзакциялардың ықтимал алаяқтық болуы туралы ескертеді». Сондай-ақ компания әмиянның әрқашан әрбір транзакцияның толық мекенжайын көрсететінін және олар «пайдаланушыларға тек бірінші және соңғы таңбаларды ғана емес, әрқашан толық мекенжайды тексеруді қатаң ұсынатынын» мәлімдеді.
Зерттеушілерді блоктау
Әмияндардан басқа, блок зерттеушілері транзакциялар тарихын қарау үшін пайдалануға болатын бағдарламалық құралдың басқа түрі болып табылады. Кейбір зерттеушілер бұл транзакцияларды кейбір әмияндар сияқты пайдаланушыларды абайсызда адастыратындай етіп көрсетуі мүмкін.
Бұл қауіпке қарсы тұру үшін Etherscan пайдаланушы бастамаған нөлдік мәнді таңбалауыш транзакцияларды сұр түске айналдыра бастады. Ол сондай-ақ бұл транзакцияларды төмендегі суретте дәлелденетіндей, «Бұл басқа мекенжай арқылы басталған нөлдік мәнді таңбалауышты тасымалдау» деген ескертумен белгілейді.
Басқа блок зерттеушілері пайдаланушыларды осы транзакциялар туралы ескерту үшін Etherscan сияқты қадамдарды жасаған болуы мүмкін, бірақ кейбіреулері бұл қадамдарды әлі орындамаған болуы мүмкін.
«Нөлдік мәнді TransferFrom» трюкін болдырмауға арналған кеңестер
Cointelegraph SlowMist-ке «нөлдік құнды TransferFrom» трюкінің құрбаны болмау туралы кеңес алу үшін хабарласты.
Компания өкілі Cointelegraph-қа шабуылдың құрбаны болмау үшін кеңестер тізімін берді:
- «Сақ болыңыз және кез келген транзакцияны орындамас бұрын мекенжайды тексеріңіз.»
- «Қаржыны дұрыс емес мекенжайларға жіберуді болдырмау үшін әмияныңыздағы ақ тізім мүмкіндігін пайдаланыңыз.»
- «Сақ болыңыз және хабардар болыңыз. Егер сіз қандай да бір күдікті аударымдарды кездестірсеңіз, алаяқтардың құрбаны болмас үшін мәселені сабырлы түрде тексеруге уақыт бөліңіз».
- «Скептицизмнің сау деңгейін сақтаңыз, әрқашан сақ және қырағы болыңыз».
Осы кеңеске сүйене отырып, криптовалюта пайдаланушылары есте сақтауы керек ең маңызды нәрсе - криптовалюта жібермес бұрын әрқашан мекенжайды тексеру. Тіпті транзакция жазбасы сіздің криптофонды мекенжайға бұрын жібергеніңізді білдірсе де, бұл көрініс алдау болуы мүмкін.
Дереккөз: https://cointelegraph.com/news/scammers-are-targeting-crypto-users-with-new-zero-value-transferfrom-trick