הרמאים מכוונים למשתמשי קריפטו עם טריק חדש של 'העברת ערך אפס'

נתונים מ-Etherscan מראים שכמה נוכלי קריפטו מכוונים למשתמשים עם טריק חדש שמאפשר להם לאשר עסקה מהארנק של הקורבן, אך מבלי שיהיה להם את המפתח הפרטי של הקורבן. ניתן לבצע את ההתקפה רק עבור עסקאות בעלות ערך 0. עם זאת, זה עלול לגרום למשתמשים מסוימים לשלוח בטעות אסימונים לתוקף כתוצאה מחיתוך והדבקה מהיסטוריית עסקאות שנחטפה.

חברת אבטחת בלוקצ'יין SlowMist גילה הטכניקה החדשה בדצמבר וחשפה אותה בפוסט בבלוג. מאז, גם SafePal וגם Etherscan אימצו טכניקות הפחתה כדי להגביל את השפעתה על המשתמשים, אך ייתכן שחלק מהמשתמשים עדיין לא מודעים לקיומה.

לאחרונה קיבלנו דיווחים מהקהילה על סוג חדש של הונאה: הונאת אפס העברה. היזהר אם אתה רואה העברה חשודה של 0 ברשומת הארנק שלך:

1/10

— ורוניקה (@V_SafePal) דצמבר 14, 2022

לפי הפוסט של SlowMist, ההונאה פועלת על ידי שליחת עסקה של אפס אסימונים מהארנק של הקורבן לכתובת שנראית דומה לכתובת שאליה הקורבן שלח בעבר אסימונים.

לדוגמה, אם הקורבן שלח 100 מטבעות לכתובת של פיקדון חליפין, התוקף עשוי לשלוח אפס מטבעות מהארנק של הקורבן לכתובת שנראית דומה אך היא, למעשה, בשליטת התוקף. הנפגע עשוי לראות את העסקה הזו בהיסטוריית העסקאות שלו ולהסיק שהכתובת המוצגת היא כתובת ההפקדה הנכונה. כתוצאה מכך, הם עשויים לשלוח את המטבעות שלהם ישירות לתוקף.

שליחת עסקה ללא אישור בעלים 

בנסיבות רגילות, תוקף צריך את המפתח הפרטי של הקורבן כדי לשלוח עסקה מהארנק של הקורבן. אבל תכונת "כרטיסיית החוזה" של Etherscan מגלה שישנה פרצה בחוזים סמליים מסוימים שיכולה לאפשר לתוקף לשלוח עסקה מכל ארנק שהוא.

לדוגמה, הקוד עבור USD Coin (USDC) ב-Etherscan מופעים שהפונקציה "TransferFrom" מאפשרת לכל אדם להעביר מטבעות מארנק של אדם אחר כל עוד כמות המטבעות שהם שולחים קטנה או שווה לסכום המותר על ידי בעל הכתובת.

זה בדרך כלל אומר שתוקף לא יכול לבצע עסקה מכתובת של אדם אחר אלא אם כן הבעלים מאשר לו קצבה.

עם זאת, ישנה פרצה בהגבלה זו. הסכום המותר מוגדר כמספר (נקרא "סוג uint256"), כלומר הוא מתפרש כאפס אלא אם כן הוא מוגדר ספציפית למספר אחר. ניתן לראות זאת בפונקציית "הקצבה".

כתוצאה מכך, כל עוד ערך העסקה של התוקף קטן או שווה לאפס, הם יכולים לשלוח עסקה מכל ארנק שרק ירצו, ללא צורך במפתח הפרטי או באישור מוקדם מהבעלים.

USDC הוא לא האסימון היחיד שמאפשר לעשות זאת. ניתן למצוא קוד דומה ברוב חוזי האסימונים. זה אפילו יכול להיות מצא בחוזים לדוגמה המקושרים מהאתר הרשמי של קרן Ethereum.

דוגמאות להונאה של העברת ערך אפס

Etherscan מראה שכתובות מסוימות של ארנק שולחות אלפי עסקאות בשווי אפס ביום מארנקים של קורבנות שונים ללא הסכמתם.

לדוגמה, חשבון שכותרתו Fake_Phishing7974 השתמש בחוזה חכם לא מאומת לבצע יותר מ-80 חבילות של עסקאות ב-12 בינואר, עם כל חבילה מכיל 50 עסקאות בשווי אפס סה"כ 4,000 עסקאות לא מורשות ביום אחד.

כתובות מטעות

הסתכלות מקרוב על כל עסקה מגלה את המניע לספאם הזה: התוקף שולח עסקאות בעלות ערך אפס לכתובות שנראות מאוד דומות לאלו שהקורבנות שלחו להן כספים בעבר.

לדוגמה, Etherscan מראה שאחת מכתובות המשתמש שממוקדות על ידי התוקף היא הבאה:

0x20d7f90d9c40901488a935870e1e80127de11d74.

ב-29 בינואר, חשבון זה אישר 5,000 Tether (USDT) להישלח לכתובת המקבלת הזו:

0xa541efe60f274f813a834afd31e896348810bb09.

מיד לאחר מכן, Fake_Phishing7974 שלח עסקה בשווי אפס מהארנק של הקורבן לכתובת זו:

0xA545c8659B0CD5B426A027509E55220FDa10bB09.

חמשת התווים הראשונים וששת התווים האחרונים של שתי הכתובות המקבלות הללו זהים לחלוטין, אבל התווים באמצע שונים לחלוטין. ייתכן שהתוקף התכוון שהמשתמש ישלח USDT לכתובת השנייה (המזויפת) הזו במקום לכתובת האמיתית, וייתן את המטבעות שלו לתוקף.

במקרה הספציפי הזה, נראה שהתרמית לא עבדה, שכן Etherscan לא מציגה כל עסקאות מכתובת זו לאחת הכתובות המזויפות שנוצרו על ידי הרמאי. אבל בהתחשב בהיקף העסקאות בשווי אפס שבוצעו על ידי חשבון זה, ייתכן שהתוכנית עבדה במקרים אחרים.

ארנקים וחוקרי בלוקים עשויים להשתנות באופן משמעותי לגבי האופן שבו או האם הם מציגים עסקאות מטעות.

ארנקים

חלק מהארנקים עשויים שלא להציג את עסקאות הספאם כלל. לדוגמה, MetaMask לא מציגה היסטוריית עסקאות אם היא מותקנת מחדש, גם אם לחשבון עצמו יש מאות עסקאות בבלוקצ'יין. זה מרמז שהיא מאחסנת היסטוריית עסקאות משלה במקום לשלוף את הנתונים מה- blockchain. זה אמור למנוע מעסקאות הספאם להופיע בהיסטוריית העסקאות של הארנק.

מצד שני, אם הארנק מושך נתונים ישירות מהבלוקצ'יין, עסקאות הספאם עשויות להופיע בתצוגה של הארנק. בהכרזה ב-13 בדצמבר בטוויטר, מנכ"לית SafePal, ורוניקה וונג מוזהר משתמשי SafePal שהארנק שלה עשוי להציג את העסקאות. כדי להפחית את הסיכון הזה, היא אמרה ש-SafePal משנה את האופן שבו כתובות מוצגות בגרסאות חדשות יותר של הארנק שלה כדי להקל על המשתמשים לבדוק כתובות.

(6/10) על כך, נקטנו בפעולות:
1) בעדכון V3.7.3 האחרון, התאמנו את אורך כתובת הארנק המוצגת בהיסטוריית העסקאות. 10 הספרות הראשונות והאחרונות של כתובת הארנק יוצגו כברירת מחדל, לצורך בדיקת כתובת

— ורוניקה (@V_SafePal) דצמבר 14, 2022

בדצמבר, משתמש אחד גם דיווח כי ארנק ה-Trezor שלו היה מציג עסקאות מטעות.

Cointelegraph פנה באמצעות דואר אלקטרוני למפתח Trezor SatoshiLabs לצורך תגובה. בתגובה, נציג הצהיר כי הארנק אכן שולף את היסטוריית העסקאות שלו ישירות מה-blockchain "בכל פעם שמשתמשים מחברים את ארנק ה-Trezor שלהם".

עם זאת, הצוות נוקט בצעדים כדי להגן על המשתמשים מפני ההונאה. בעדכון הקרוב של Trezor Suite, התוכנה "תסמן את העסקאות החשודות בעלות ערך אפס, כך שמשתמשים מקבלים התראה שעסקאות כאלה עשויות להיות הונאה". החברה גם ציינה כי הארנק מציג תמיד את הכתובת המלאה של כל עסקה וכי הם "ממליצים בחום למשתמשים לבדוק תמיד את הכתובת המלאה, לא רק את התווים הראשונים והאחרונים".

חוקרי בלוק

מלבד ארנקים, חוקרים בלוק הם סוג נוסף של תוכנות שניתן להשתמש בהן כדי להציג היסטוריית עסקאות. חוקרים מסוימים עשויים להציג את העסקאות הללו בצורה כזו שתטעה משתמשים בטעות, בדיוק כפי שעושים ארנקים מסוימים.

כדי לצמצם את האיום הזה, Etherscan החלה להאפיר עסקאות אסימון בעלות ערך אפס שאינן יזומות על ידי המשתמש. זה גם מסמן את העסקאות הללו בהתראה שאומרת, "זוהי העברת אסימון בעל ערך אפס שיזמה כתובת אחרת", כפי שמעידה התמונה למטה.

חוקרים בלוק אחרים אולי נקטו את אותם הצעדים כמו Etherscan כדי להזהיר משתמשים לגבי עסקאות אלה, אך ייתכן שחלקם עדיין לא יישמו את השלבים הללו.

טיפים להימנעות מטריק 'העברה מאפס בעל ערך אפס'

קוינטלגרף פנה ל-SlowMist כדי לקבל עצה כיצד להימנע מליפול טרף לטריק "העברה מאין ערך אפס".

נציג מהחברה נתן לקוינטלגרף רשימה של טיפים להימנעות מלהיות קורבן של המתקפה:

1. "היזהר ואמת את הכתובת לפני ביצוע עסקאות כלשהן."
2. "השתמש בתכונת רשימת ההיתרים בארנק שלך כדי למנוע שליחת כספים לכתובות הלא נכונות."
3. "הישאר ערני ומעודכן. אם אתם נתקלים בהעברות חשודות, קחו את הזמן לחקור את הנושא ברוגע כדי להימנע מנפילת קורבן לרמאים".
4. "שמור על רמה בריאה של ספקנות, הישאר תמיד זהיר וערני."

אם לשפוט מהעצה הזו, הדבר החשוב ביותר עבור משתמשי קריפטו לזכור הוא לבדוק תמיד את הכתובת לפני שליחת הקריפטו אליה. גם אם נראה שרשומת העסקה מרמזת ששלחת קריפטו לכתובת בעבר, ייתכן שהמראה הזה מטעה.