Крипто

Луйварчид крипто хэрэглэгчдийг шинэ "тэг утгатай TransferFrom" трикээр онилж байна

02/08/2023
Bitcoin Ethereum мэдээ

Etherscan-аас авсан мэдээллээс харахад зарим крипто луйварчид хохирогчийн хувийн түлхүүргүйгээр хохирогчийн хэтэвчнээс гүйлгээг баталгаажуулах боломжийг олгодог шинэ заль мэхийг ашиглан хэрэглэгчдийг онилж байгааг харуулж байна. Довтолгоог зөвхөн 0 утгатай гүйлгээнд хийж болно. Гэсэн хэдий ч энэ нь хулгайлагдсан гүйлгээний түүхээс хайчилж, буулгасны үр дүнд зарим хэрэглэгчид санамсаргүйгээр халдагч руу жетон илгээхэд хүргэж болзошгүй юм.

Blockchain аюулгүй байдлын компани SlowMist Илэрсэн XNUMX-р сард шинэ техникийг танилцуулсан бөгөөд үүнийг блог нийтлэлдээ илчилсэн. Түүнээс хойш SafePal болон Etherscan аль аль нь хэрэглэгчдэд үзүүлэх нөлөөг хязгаарлахын тулд багасгах арга техникийг нэвтрүүлсэн боловч зарим хэрэглэгчид энэ нь байгааг мэдэхгүй хэвээр байж магадгүй юм.

SlowMist-ийн нийтлэлд дурдсанаар, энэ луйвар нь хохирогчийн түрийвчнээс хохирогчийн өмнө нь жетон илгээсэн хаягтай төстэй хаяг руу XNUMX жетон гүйлгээ илгээх замаар ажилладаг.

Жишээлбэл, хэрэв хохирогч 100 зоосыг солилцооны хадгаламжийн хаяг руу илгээсэн бол халдагчид хохирогчийн хэтэвчнээс ижил төстэй харагдах боловч үнэндээ халдагчийн хяналтанд байдаг хаяг руу тэг зоос илгээж болно. Хохирогч гүйлгээний түүхэнд энэ гүйлгээг харж, үзүүлсэн хаяг нь хадгаламжийн зөв хаяг байна гэж дүгнэж болно. Үүний үр дүнд тэд зоосоо шууд халдагч руу илгээж болно.

Эзэмшигчийн зөвшөөрөлгүйгээр гүйлгээ илгээх 

Ердийн нөхцөлд халдагчид хохирогчийн хэтэвчнээс гүйлгээ илгээхийн тулд хохирогчийн хувийн түлхүүр хэрэгтэй. Гэхдээ Etherscan-ийн "гэрээний таб" функц нь зарим жетон гэрээнд халдагчид ямар ч түрийвчнээс гүйлгээ илгээх боломжийг олгодог цоорхой байгааг харуулж байна.

Жишээлбэл, Etherscan дээрх USD Coin (USDC) код харуулж байна "TransferFrom" функц нь илгээж буй зоосны хэмжээ нь тухайн хаягийн эзэмшигчийн зөвшөөрөгдсөн хэмжээнээс бага буюу тэнцүү байвал хэн нэгэн өөр хүний ​​түрийвчнээс зоос зөөх боломжийг олгодог.

Энэ нь ихэвчлэн халдагч өөр хүний ​​хаягаар гүйлгээ хийх боломжгүй гэсэн үг бөгөөд хэрэв эзэмшигч нь тэдэнд тэтгэмж олгохыг зөвшөөрөхгүй бол.

Гэхдээ энэ хязгаарлалтад цоорхой бий. Зөвшөөрөгдсөн хэмжээг тоогоор ("uint256 төрөл" гэж нэрлэдэг) тодорхойлсон бөгөөд энэ нь өөр тоогоор тусгайлан тохируулаагүй бол үүнийг тэг гэж тайлбарлана гэсэн үг юм. Үүнийг "тэтгэмж" функцээс харж болно.

Image

Үүний үр дүнд халдагчийн гүйлгээний үнэ тэгээс бага эсвэл тэнцүү байвал тэд хувийн түлхүүр эсвэл эзэмшигчээс урьдчилан зөвшөөрөл авахгүйгээр хүссэн түрийвчнээсээ гүйлгээг илгээх боломжтой.

USDC нь үүнийг хийх боломжийг олгодог цорын ганц жетон биш юм. Үүнтэй төстэй кодыг ихэнх жетон гэрээнүүдээс олж болно. Тэр ч байтугай байж болно олдлоо Ethereum сангийн албан ёсны вэбсайтаас холбосон гэрээний жишээнд.

Тэг утгыг шилжүүлэх луйврын жишээ

Etherscan зарим түрийвчний хаягууд янз бүрийн хохирогчдын түрийвчнээс тэдний зөвшөөрөлгүйгээр өдөрт хэдэн мянган тэг дүнтэй гүйлгээг илгээж байгааг харуулж байна.

Жишээлбэл, Fake_Phishing7974 шошготой бүртгэл нь баталгаажуулаагүй ухаалаг гэрээг ашигласан гүйцэтгэх 80-р сарын 12-нд XNUMX гаруй багц гүйлгээ, багц тус бүрээр агуулсан байна Нэг өдрийн дотор нийт 50 зөвшөөрөлгүй гүйлгээ хийх тэг дүнтэй 4,000 гүйлгээ.

Буруу хаягууд

Гүйлгээ бүрийг сайтар ажиглавал энэ спамын сэдлийг олж харна: Халдлага үйлдэгч хохирогчдын өмнө нь мөнгө илгээсэн хаягтай тун төстэй хаяг руу тэг дүнтэй гүйлгээ илгээж байна.

Жишээлбэл, Etherscan нь халдагчийн зорилтот хэрэглэгчийн хаягуудын нэг нь дараах болохыг харуулж байна:

0x20d7f90d9c40901488a935870e1e80127de11d74.

29-р сарын 5,000-нд энэ данс XNUMX Tether (USDT)-ийг хүлээн авах хаяг руу илгээхийг зөвшөөрөв.

0xa541efe60f274f813a834afd31e896348810bb09.

Үүний дараахан Fake_Phishing7974 хохирогчийн хэтэвчнээс дараах хаяг руу тэг дүнтэй гүйлгээ илгээсэн байна.

0xA545c8659B0CD5B426A027509E55220FDa10bB09.

Энэ хоёр хүлээн авагч хаягийн эхний таван тэмдэгт, сүүлийн зургаан тэмдэгт нь яг адилхан боловч дунд байгаа тэмдэгтүүд нь бүгд тэс өөр. Халдлага үйлдэгч нь хэрэглэгчдэд зоосон мөнгөө халдагчид өгөхийн оронд энэ хоёр дахь (хуурамч) хаяг руу USDT илгээхийг зорьсон байж магадгүй юм.

Энэ тохиолдолд Etherscan нь энэ хаягаас скамерын үүсгэсэн хуурамч хаягуудын аль нэгэнд хийсэн гүйлгээг харуулдаггүй тул луйвар ажиллахгүй байгаа бололтой. Гэхдээ энэ дансаар хийсэн тэг дүнтэй гүйлгээний хэмжээг харгалзан үзвэл төлөвлөгөө бусад тохиолдолд хэрэгжсэн байж магадгүй юм.

Түрийвч болон блок судлаачид төөрөгдүүлсэн гүйлгээг хэрхэн харуулах, харуулах эсэхээс ихээхэн ялгаатай байж болно.

түрүүвч

Зарим түрийвч нь спам гүйлгээг огт харуулахгүй байж болно. Жишээлбэл, MetaMask нь блокчейн дээр хэдэн зуун гүйлгээ хийсэн байсан ч дахин суулгасан тохиолдолд гүйлгээний түүхийг харуулахгүй. Энэ нь блокчэйнээс өгөгдлийг татахын оронд өөрийн гүйлгээний түүхийг хадгалдаг гэсэн үг юм. Энэ нь түрийвчний гүйлгээний түүхэнд спам гүйлгээг харуулахаас сэргийлнэ.

Нөгөөтэйгүүр, хэрэв түрийвч блокчэйноос өгөгдлийг шууд татаж авбал спам гүйлгээ түрийвчний дэлгэц дээр гарч ирж магадгүй юм. SafePal-ийн гүйцэтгэх захирал Вероника Вонг 13-р сарын XNUMX-ны өдөр Twitter дээр зарласан. сэрэмжлүүлсэн SafePal хэрэглэгчид түрийвч нь гүйлгээг харуулах боломжтой. Энэ эрсдлийг бууруулахын тулд SafePal нь хэрэглэгчид хаягийг шалгахад хялбар болгох үүднээс түрийвчнийхээ шинэ хувилбаруудад хаягийг харуулах аргыг өөрчилж байна гэж тэр хэлэв.

Арванхоёрдугаар сард нэг хэрэглэгч мөн тэдний Trezor түрийвч байсан гэж мэдээлсэн үзүүлэх төөрөгдүүлсэн гүйлгээ.

Cointelegraph нь Trezor хөгжүүлэгч SatoshiLabs руу имэйлээр холбогдож тайлбар авахаар болжээ. Хариуд нь төлөөлөгч "хэрэглэгч Trezor түрийвчээ залгах бүрт" түрийвч нь гүйлгээний түүхээ блокчэйнээс шууд авдаг гэж мэдэгджээ.

Гэсэн хэдий ч баг нь хэрэглэгчдийг луйвраас хамгаалах арга хэмжээ авч байна. Удахгүй гарах Trezor Suite-ийн шинэчлэлтэд уг программ хангамж нь "сэжигтэй тэг дүнтэй гүйлгээг дарцаглах бөгөөд ингэснээр хэрэглэгчид ийм гүйлгээ нь залилан мэхлэх боломжтой" гэдгийг анхааруулах болно. Тус компани мөн хэтэвч нь гүйлгээ бүрийн хаягийг үргэлж харуулдаг бөгөөд "хэрэглэгчдэд зөвхөн эхний болон сүүлчийн тэмдэгтүүдийг биш харин хаягийг бүрэн шалгахыг зөвлөж байна" гэж мэдэгджээ.

Судлаачдыг блоклох

Түрийвчнээс гадна блок судлаачид нь гүйлгээний түүхийг үзэх боломжтой өөр төрлийн програм хангамж юм. Зарим судлаачид эдгээр гүйлгээг зарим түрийвчний нэгэн адил хэрэглэгчдийг санамсаргүйгээр төөрөгдүүлэх байдлаар харуулж болно.

Энэхүү аюулыг багасгахын тулд Etherscan нь хэрэглэгчийн санаачилгаагүй тэг утгатай жетон гүйлгээг саарал болгож эхэлсэн. Энэ нь мөн эдгээр гүйлгээг "Энэ бол өөр хаягаар эхлүүлсэн тэг утгатай жетон шилжүүлэг" гэсэн дохиогоор тэмдэглэдэг нь доорх зургаас харагдаж байна.

Бусад блок судлаачид эдгээр гүйлгээний талаар хэрэглэгчдэд сэрэмжлүүлэхийн тулд Etherscan-тай ижил алхмуудыг хийсэн байж магадгүй ч зарим нь эдгээр алхмуудыг хараахан хэрэгжүүлээгүй байж магадгүй.

"Тэг утгатай TransferFrom" заль мэхээс зайлсхийх зөвлөмжүүд

Cointelegraph нь SlowMist-тэй холбоо барьж, "тэг үнэ цэнэтэй TransferFrom" заль мэхэнд автахаас хэрхэн сэргийлэх талаар зөвлөгөө авав.

Тус компанийн төлөөлөгч Cointelegraph-т халдлагын хохирогч болохоос зайлсхийх зөвлөмжүүдийн жагсаалтыг өгсөн.

  1. "Аливаа гүйлгээ хийхээсээ өмнө болгоомжтой байж, хаягаа шалгаарай."
  2. "Буруу хаяг руу мөнгө илгээхгүйн тулд хэтэвчнийхээ цагаан жагсаалтын функцийг ашиглаарай."
  3. “Сэрэмжтэй, мэдээлэлтэй байгаарай. Хэрэв танд ямар нэгэн сэжигтэй шилжүүлэг таарвал луйварчдын золиос болохоос зайлсхийхийн тулд асуудлыг тайван шалгаж үзээрэй."
  4. "Эргэлзээг эрүүл түвшинд байлгаж, үргэлж болгоомжтой, сонор сэрэмжтэй байгаарай."

Энэхүү зөвлөмжөөс харахад крипто хэрэглэгчдийн санаж байх ёстой хамгийн чухал зүйл бол крипто илгээхээсээ өмнө хаягийг байнга шалгаж байх явдал юм. Гүйлгээний бүртгэл нь таныг өмнө нь тус хаяг руу крипто илгээсэн гэсэн утгатай мэт санагдаж байсан ч энэ дүр төрх нь хууран мэхэлж магадгүй юм.