крипто

Алдамчылар крипто колдонуучуларды жаңы "нөлдүк TransferFrom" амалы менен бутага алышууда

02/08/2023
Bitcoin Ethereum Маалымат

Etherscan маалыматтары көрсөткөндөй, кээ бир крипто шылуундар колдонуучуларды жабырлануучунун капчыгынан транзакцияны ырастоого мүмкүндүк берген жаңы амал менен бутага алышат, бирок жабырлануучунун жеке ачкычы жок. Кол салуу 0 маанидеги транзакциялар үчүн гана аткарылышы мүмкүн. Бирок, ал уурдалган транзакциянын тарыхын кесип жана чаптоо натыйжасында кээ бир колдонуучулар кокусунан чабуулчуга энбелгилерди жөнөтүшү мүмкүн.

Blockchain коопсуздук фирмасы SlowMist ачылган декабрда жаңы техника жана блог билдирүүсүндө аны ачып берген. Ошондон бери SafePal да, Etherscan да колдонуучуларга таасирин чектөө үчүн жумшартуу ыкмаларын колдонушкан, бирок кээ бир колдонуучулар дагы эле анын бар экенин билишпейт.

SlowMistтин билдирүүсүнө ылайык, алдамчылык жабырлануучунун капчыгына нөлдүк токендердин транзакциясын жабырлануучу мурда жөнөткөн дарекке окшош дарекке жөнөтүү менен иштейт.

Мисалы, эгерде жабырлануучу алмашуу депозиттик дарегине 100 тыйын жөнөтсө, чабуулчу жабырлануучунун капчыгынан окшош, бирок чындыгында чабуулчунун көзөмөлүндө турган дарекке нөл тыйын жөнөтүшү мүмкүн. Жабырлануучу бул транзакцияны транзакциянын тарыхында көрүп, көрсөтүлгөн дарек депозиттин туура дареги деп тыянак чыгарышы мүмкүн. Натыйжада, алар өз тыйындарын түздөн-түз чабуулчуга жөнөтө алышат.

Ээсинин уруксатысыз транзакция жөнөтүү 

Кадимки шарттарда, чабуулчу жабырлануучунун капчыгына транзакция жөнөтүү үчүн жабырлануучунун жеке ачкычына муктаж. Бирок Etherscanдын “контракт өтмөгү” өзгөчөлүгү кээ бир токендер келишимдеринде боштук бар экенин көрсөтүп турат, ал чабуулчуга каалаган капчыктан транзакция жөнөтүүгө мүмкүндүк берет.

Мисалы, Etherscan боюнча USD Coin (USDC) коду шоу "TransferFrom" функциясы каалаган адамга башка адамдын капчыгынан монеталарды которууга мүмкүндүк берет, эгерде алар жөнөтүп жаткан монеталардын суммасы даректин ээси уруксат берген суммадан аз же ага барабар болсо.

Бул, адатта, чабуулчу башка адамдын дарегинен транзакция жасай албайт дегенди билдирет, эгерде ээси алар үчүн жеңилдикти бекитмейинче.

Бирок бул чектөөдө бир жылчык бар. Уруксат берилген сумма сан катары аныкталат («uint256 түрү» деп аталат), башкача айтканда, ал атайын башка санга коюлбаса, нөл деп чечмеленет. Муну “пособие” функциясынан көрүүгө болот.

Image

Натыйжада, чабуулчунун транзакциясынын баасы нөлдөн аз же барабар болсо, алар купуя ачкычты же ээсинин алдын ала уруксатын талап кылбастан, каалаган капчыктан транзакцияны жөнөтө алышат.

USDC муну жасоого мүмкүндүк берген жалгыз белги эмес. Окшош кодду көпчүлүк токен келишимдеринен тапса болот. Ал тургай болушу мүмкүн табылган мисал келишимдерде Ethereum Фондунун расмий сайтынан шилтемеленген.

Нөлдүк наркын которуу алдамчылыктын мисалдары

Etherscan кээ бир капчык даректери алардын макулдугусуз ар кандай курмандыктардын капчыктарынан күнүнө миңдеген нөлдүк транзакцияларды жөнөтүп жатканын көрсөтүп турат.

Мисалы, Fake_Phishing7974 деп белгиленген каттоо эсеби текшерилбеген акылдуу келишимди колдонгон аткаруу ар бир таңгак менен 80-январда бүтүмдөрдүн 12ден ашык пакеттери камтыган Бир күндө жалпысынан 50 уруксатсыз транзакциялар үчүн нөлдүк 4,000 транзакция.

Адаштыруучу даректер

Ар бир транзакцияны кылдаттык менен карап чыгуу бул спамдын мотивин ачып берет: Чабуулчу нөлдүк транзакцияларды жабырлануучулар мурда акча жөнөткөн даректерге абдан окшош болгон даректерге жөнөтүүдө.

Мисалы, Etherscan чабуулчу тарабынан багытталган колдонуучу даректеринин бири төмөнкү экенин көрсөтөт:

0x20d7f90d9c40901488a935870e1e80127de11d74.

29-январда бул эсеп 5,000 XNUMX Tetherди (USDT) ушул кабыл алуучу дарекке жөнөтүүгө уруксат берди:

0xa541efe60f274f813a834afd31e896348810bb09.

Ошол замат Fake_Phishing7974 жабырлануучунун капчыгына нөлдүк транзакцияны бул дарекке жөнөттү:

0xA545c8659B0CD5B426A027509E55220FDa10bB09.

Бул эки кабыл алуучу даректин алгачкы беш белгиси жана акыркы алты символу так окшош, бирок ортодогу символдор таптакыр башка. Чабуулчу колдонуучуга USDTди чыныгы дарекке эмес, экинчи (жасалма) дарекке жөнөтүп, монеталарын чабуулчуга берүүнү көздөгөн болушу мүмкүн.

Бул конкреттүү учурда, Etherscan бул даректен шылуун тарабынан түзүлгөн жасалма даректердин бирине эч кандай транзакцияларды көрсөтпөгөндүктөн, алдамчылык иштебей калган окшойт. Бирок бул эсеп тарабынан жасалган нөлдүк операциялардын көлөмүн эске алганда, план башка учурларда иштеген болушу мүмкүн.

Капчыктар жана блок изилдөөчүлөр адаштыруучу транзакцияларды кантип же көрсөтпөгөнүнө байланыштуу олуттуу түрдө айырмаланышы мүмкүн.

капчыктар

Кээ бир капчыктар спам транзакцияларын такыр көрсөтпөшү мүмкүн. Мисалы, MetaMask, эгер каттоо эсебинде блокчейнде жүздөгөн транзакциялар болсо да, ал кайра орнотулган болсо, транзакциянын тарыхын көрсөтпөйт. Бул блокчейнден маалыматтарды тартпай, өзүнүн транзакция тарыхын сактай турганын билдирет. Бул спам транзакцияларынын капчыктын транзакция тарыхында көрсөтүлүшүнө жол бербөө керек.

Башка жагынан алганда, капчык блокчейнден маалыматтарды түз тартып алса, спам транзакциялары капчыктын дисплейинде көрсөтүлүшү мүмкүн. 13-декабрда Twitterдеги жарыясында SafePal компаниясынын башкы директору Вероника Вонг эскертүү SafePal колдонуучулары анын капчыгы транзакцияларды көрсөтө алат. Бул тобокелдикти азайтуу үчүн, ал SafePal колдонуучулардын даректерди текшерүүсүн жеңилдетүү үчүн капчыктын жаңы версияларында даректерди көрсөтүү ыкмасын өзгөртүп жатканын айтты.

Декабрда бир колдонуучу да Trezor капчыгы экенин билдирди көрсөтүү адаштыруучу транзакциялар.

Cointelegraph комментарий алуу үчүн Trezor иштеп чыгуучусу SatoshiLabs менен электрондук почта аркылуу байланышты. Жооп катары өкүл капчык өзүнүн транзакция тарыхын түздөн-түз блокчейнден "колдонуучулар Trezor капчыгына сайган сайын" чыгарарын айтты.

Бирок, команда колдонуучуларды алдамчылыктан коргоо үчүн чараларды көрүп жатат. Алдыда боло турган Trezor Suite жаңыртуусунда, программалык камсыздоо "күмөндүү нөлдүк транзакцияларды белгилейт, ошондуктан колдонуучулар мындай транзакциялар алдамчылык болушу мүмкүн экенин эскертет." Компания ошондой эле капчыкта ар бир транзакциянын толук дареги көрсөтүлөрүн жана алар "колдонуучуларга биринчи жана акыркы символдорду гана эмес, ар дайым толук даректи текшерүүнү катуу сунуштай турганын" билдирди.

Изилдөөчүлөрдү бөгөө

Капчыктардан тышкары, блок изилдөөчүлөрү транзакциянын тарыхын көрүү үчүн колдонула турган программалык камсыздоонун дагы бир түрү болуп саналат. Кээ бир изилдөөчүлөр бул транзакцияларды кээ бир капчыктар сыяктуу колдонуучуларды кокусунан адаштыргыдай кылып көрсөтүшү мүмкүн.

Бул коркунучту азайтуу үчүн, Etherscan колдонуучу тарабынан башталбаган нөлдүк маанидеги транзакцияларды өчүрө баштады. Ал ошондой эле бул транзакцияларды төмөнкү сүрөттөн көрүнүп тургандай, "Бул башка дарек тарабынан башталган нөлдүк баалуу токен өткөрүп берүү" деген эскертүү менен белгилейт.

Башка блок изилдөөчүлөр колдонуучуларга бул транзакциялар жөнүндө эскертүү үчүн Etherscan сыяктуу кадамдарды жасашкан болушу мүмкүн, бирок кээ бирлери бул кадамдарды аткара элек болушу мүмкүн.

"Нөлдүк TransferFrom" трюкунан качуу боюнча кеңештер

Cointelegraph SlowMist менен байланышып, “нөлдүк баалуу TransferFrom” трюкуна жем болуп калбоо боюнча кеңеш алды.

Компаниянын өкүлү Cointelegraphка чабуулдун курмандыгы болуп калбоо боюнча кеңештердин тизмесин берди:

  1. "Этият болуңуз жана транзакцияларды аткаруудан мурун даректи текшериңиз."
  2. "Каражаттарды туура эмес даректерге жөнөтпөө үчүн капчыгыңыздагы ак тизме функциясын колдонуңуз."
  3. «Сергек жана кабардар болгула. Эгер кандайдыр бир шектүү которууларга туш болсоңуз, шылуундардын курмандыгы болуп калбоо үчүн маселени сабырдуулук менен иликтөөгө убакыт бөлүңүз».
  4. "Скептицизмдин сергек деңгээлин сактаңыз, ар дайым сак жана сергек болуңуз."

Бул кеңешке караганда, крипто колдонуучулары үчүн эстен чыгарбоо керек болгон эң маанилүү нерсе - крипто жөнөтүүдөн мурун даректи дайыма текшерип туруу. Транзакция жазуусу мурун дарекке крипто жөнөткөнүңүздү билдирсе да, бул көрүнүш алдамчы болушу мүмкүн.