Ipinapakita ng data mula sa Etherscan na ang ilang crypto scammers ay nagta-target ng mga user gamit ang isang bagong trick na nagbibigay-daan sa kanila na kumpirmahin ang isang transaksyon mula sa wallet ng biktima, ngunit walang pribadong key ng biktima. Ang pag-atake ay maaari lamang isagawa para sa mga transaksyong 0 halaga. Gayunpaman, maaari itong maging sanhi ng ilang mga gumagamit na hindi sinasadyang magpadala ng mga token sa umaatake bilang resulta ng pagputol at pag-paste mula sa isang na-hijack na kasaysayan ng transaksyon.
Blockchain security firm na SlowMist Natuklasan ang bagong pamamaraan noong Disyembre at inihayag ito sa isang post sa blog. Simula noon, parehong SafePal at Etherscan ay nagpatibay ng mga diskarte sa pagpapagaan upang limitahan ang epekto nito sa mga user, ngunit maaaring hindi pa rin alam ng ilang user ang pagkakaroon nito.
Kamakailan ay nakatanggap kami ng mga ulat mula sa komunidad ng isang bagong uri ng scam: Zero Transfer Scam. Mag-ingat kung makakita ka ng kahina-hinalang 0 transfer sa iyong wallet record:
1/10
— Veronica (@V_SafePal) Disyembre 14, 2022
Ayon sa post mula sa SlowMist, gumagana ang scam sa pamamagitan ng pagpapadala ng transaksyon ng mga zero token mula sa wallet ng biktima sa isang address na mukhang katulad ng address kung saan dati pinadalhan ng mga token ang biktima.
Halimbawa, kung nagpadala ang biktima ng 100 coin sa isang exchange deposit address, maaaring magpadala ang attacker ng zero coins mula sa wallet ng biktima sa isang address na mukhang magkapareho ngunit iyon ay, sa katunayan, sa ilalim ng kontrol ng attacker. Maaaring makita ng biktima ang transaksyong ito sa kanilang kasaysayan ng transaksyon at magdesisyon na ang address na ipinapakita ay ang tamang address ng deposito. Bilang resulta, maaari nilang direktang ipadala ang kanilang mga barya sa umaatake.
Nagpapadala ng transaksyon nang walang pahintulot ng may-ari
Sa normal na mga pangyayari, kailangan ng umaatake ang pribadong susi ng biktima para magpadala ng transaksyon mula sa wallet ng biktima. Ngunit ang tampok na "tab ng kontrata" ng Etherscan ay nagpapakita na mayroong butas sa ilang mga kontrata ng token na maaaring magpapahintulot sa isang umaatake na magpadala ng isang transaksyon mula sa anumang pitaka.
Halimbawa, ang code para sa USD Coin (USDC) sa Etherscan Ipinapakita ng na ang function na "TransferFrom" ay nagpapahintulot sa sinumang tao na maglipat ng mga barya mula sa wallet ng ibang tao hangga't ang halaga ng mga barya na kanilang ipinapadala ay mas mababa o katumbas ng halagang pinapayagan ng may-ari ng address.
Karaniwan itong nangangahulugan na ang isang umaatake ay hindi maaaring gumawa ng isang transaksyon mula sa address ng ibang tao maliban kung ang may-ari ay nag-apruba ng allowance para sa kanila.
Gayunpaman, mayroong isang butas sa paghihigpit na ito. Ang pinapayagang halaga ay tinukoy bilang isang numero (tinatawag na "uint256 type"), na nangangahulugang ito ay binibigyang-kahulugan bilang zero maliban kung ito ay partikular na nakatakda sa ibang numero. Ito ay makikita sa "allowance" function.
Bilang resulta, hangga't ang halaga ng transaksyon ng umaatake ay mas mababa sa o katumbas ng zero, maaari silang magpadala ng transaksyon mula sa anumang wallet na gusto nila, nang hindi nangangailangan ng pribadong key o paunang pag-apruba mula sa may-ari.
Ang USDC ay hindi lamang ang token na nagpapahintulot na gawin ito. Ang katulad na code ay matatagpuan sa karamihan ng mga kontrata ng token. Ito ay maaaring maging natagpuan sa mga halimbawang kontrata na naka-link mula sa opisyal na website ng Ethereum Foundation.
Mga halimbawa ng zero value transfer scam
Ipinapakita ng Etherscan na ang ilang address ng wallet ay nagpapadala ng libu-libong zero-value na transaksyon bawat araw mula sa iba't ibang wallet ng mga biktima nang walang pahintulot nila.
Halimbawa, ang isang account na may label na Fake_Phishing7974 ay gumamit ng hindi na-verify na smart contract upang gumanap higit sa 80 bundle ng mga transaksyon sa Ene. 12, sa bawat bundle Na naglalaman ng 50 zero-value na transaksyon para sa kabuuang 4,000 hindi awtorisadong transaksyon sa isang araw.
Mga mapanlinlang na address
Ang mas malapit na pagtingin sa bawat transaksyon ay nagpapakita ng isang motibo para sa spam na ito: Ang umaatake ay nagpapadala ng mga zero-value na transaksyon sa mga address na halos kapareho sa mga dating pinadalhan ng mga pondo ng mga biktima.
Halimbawa, ipinapakita ng Etherscan na ang isa sa mga address ng user na tina-target ng umaatake ay ang sumusunod:
0x20d7f90d9c40901488a935870e1e80127de11d74.
Noong Ene. 29, pinahintulutan ng account na ito ang 5,000 Tether (USDT) na ipadala sa tumatanggap na address na ito:
0xa541efe60f274f813a834afd31e896348810bb09.
Kaagad pagkatapos, nagpadala ang Fake_Phishing7974 ng zero-value na transaksyon mula sa wallet ng biktima sa address na ito:
0xA545c8659B0CD5B426A027509E55220FDa10bB09.
Ang unang limang character at ang huling anim na character ng dalawang tumatanggap na address ay eksaktong magkapareho, ngunit ang mga character sa gitna ay ganap na naiiba. Maaaring nilayon ng umaatake na ipadala ng user ang USDT sa pangalawang (pekeng) address na ito sa halip na sa tunay, na ibibigay ang kanilang mga barya sa umaatake.
Sa partikular na kaso na ito, lumalabas na hindi gumana ang scam, dahil hindi nagpapakita ang Etherscan ng anumang mga transaksyon mula sa address na ito sa isa sa mga pekeng address na ginawa ng scammer. Ngunit dahil sa dami ng zero-value na transaksyon na ginawa ng account na ito, maaaring gumana ang plano sa ibang mga kaso.
Ang mga wallet at block explorer ay maaaring mag-iba nang malaki sa kung paano o kung nagpapakita sila ng mga nakakapanlinlang na transaksyon.
Wallets
Maaaring hindi ipakita ng ilang wallet ang mga transaksyong spam. Halimbawa, ang MetaMask ay hindi nagpapakita ng kasaysayan ng transaksyon kung ito ay muling na-install, kahit na ang account mismo ay may daan-daang mga transaksyon sa blockchain. Ipinahihiwatig nito na nag-iimbak ito ng sarili nitong kasaysayan ng transaksyon sa halip na kunin ang data mula sa blockchain. Dapat nitong pigilan ang mga transaksyong spam na lumabas sa kasaysayan ng transaksyon ng wallet.
Sa kabilang banda, kung direktang kukuha ng data ang wallet mula sa blockchain, ang mga transaksyong spam ay maaaring lumabas sa display ng wallet. Sa isang anunsyo noong Disyembre 13 sa Twitter, ang CEO ng SafePal na si Veronica Wong binalaan SafePal user na maaaring ipakita ng wallet nito ang mga transaksyon. Upang mabawasan ang panganib na ito, sinabi niya na binabago ng SafePal ang paraan ng pagpapakita ng mga address sa mga mas bagong bersyon ng wallet nito upang gawing mas madali para sa mga user na suriin ang mga address.
(6/10) Dahil dito, gumawa kami ng mga aksyon:
1) Sa pinakabagong update sa V3.7.3, inayos namin ang haba ng address ng wallet na ipinapakita sa history ng transaksyon. Ang una at huling 10 digit ng wallet address ay ipapakita bilang default, para sa pagsusuri ng address— Veronica (@V_SafePal) Disyembre 14, 2022
Noong Disyembre, isang user din ang nag-ulat na ang kanilang Trezor wallet ay pagpapakita mapanlinlang na mga transaksyon.
Naabot ng Cointelegraph sa pamamagitan ng email ang developer ng Trezor na SatoshiLabs para sa komento. Bilang tugon, sinabi ng isang kinatawan na direktang kinukuha ng wallet ang history ng transaksyon nito mula sa blockchain "sa tuwing isaksak ng mga user ang kanilang Trezor wallet."
Gayunpaman, nagsasagawa ang team ng mga hakbang para protektahan ang mga user mula sa scam. Sa paparating na pag-update ng Trezor Suite, "i-flag ng software ang mga kahina-hinalang zero-value na transaksyon upang maalerto ang mga user na ang mga naturang transaksyon ay posibleng mapanlinlang." Sinabi rin ng kumpanya na palaging ipinapakita ng wallet ang buong address ng bawat transaksyon at na "mahigpit nilang inirerekomenda na palaging suriin ng mga user ang buong address, hindi lamang ang una at huling mga character."
I-block ang mga explorer
Bukod sa mga wallet, ang mga block explorer ay isa pang uri ng software na maaaring magamit upang tingnan ang kasaysayan ng transaksyon. Maaaring ipakita ng ilang explorer ang mga transaksyong ito sa paraang hindi sinasadyang linlangin ang mga user, tulad ng ginagawa ng ilang wallet.
Upang mabawasan ang banta na ito, sinimulan ng Etherscan na i-gray out ang mga zero-value token na transaksyon na hindi sinimulan ng user. Ibina-flag din nito ang mga transaksyong ito gamit ang isang alerto na nagsasabing, "Ito ay isang zero-value na paglilipat ng token na pinasimulan ng isa pang address," bilang ebidensya ng larawan sa ibaba.
Maaaring ginawa ng iba pang block explorer ang parehong mga hakbang gaya ng Etherscan upang balaan ang mga user tungkol sa mga transaksyong ito, ngunit maaaring hindi pa naipatupad ng ilan ang mga hakbang na ito.
Mga tip para sa pag-iwas sa trick na 'zero-value TransferFrom'
Nakipag-ugnayan ang Cointelegraph sa SlowMist para sa payo kung paano maiwasang mabiktima ng "zero-value TransferFrom" na trick.
Isang kinatawan mula sa kumpanya ang nagbigay sa Cointelegraph ng isang listahan ng mga tip para maiwasang maging biktima ng pag-atake:
- "Mag-ingat at i-verify ang address bago magsagawa ng anumang mga transaksyon."
- "Gamitin ang tampok na whitelist sa iyong wallet upang maiwasan ang pagpapadala ng mga pondo sa mga maling address."
- “Manatiling mapagbantay at may kaalaman. Kung makatagpo ka ng anumang kahina-hinalang paglilipat, maglaan ng oras upang imbestigahan ang bagay nang mahinahon upang maiwasang mabiktima ng mga scammer.”
- "Panatilihin ang isang malusog na antas ng pag-aalinlangan, palaging manatiling maingat at mapagbantay."
Sa paghusga mula sa payo na ito, ang pinakamahalagang bagay na dapat tandaan ng mga gumagamit ng crypto ay palaging suriin ang address bago ipadala ang crypto dito. Kahit na ang rekord ng transaksyon ay tila nagpapahiwatig na nagpadala ka ng crypto sa address dati, ang hitsura na ito ay maaaring mapanlinlang.
Pinagmulan: https://cointelegraph.com/news/scammers-are-targeting-crypto-users-with-new-zero-value-transferfrom-trick