Новая функция блокчейна Ethereum помогла ограбить 99 тыс. жертв на $60 млн
Недавно добавленная функция Create2 позволяет злоумышленникам генерировать в огромных количествах адреса смарт-контрактов на блокчейне Ethereum и подменять подходящими легитимные адреса, обманывая держателей криптовалют. Уже зарегистрированы миллионные потери.
99 тысяч известных жертв
Злоумышленники воспользовались легитимной функцией блокчейна Ethereum Create2 для обхода защиты криптокошельков и успешно угнали криптовалют на общую сумму в $60 млн. Жертвами стали 99 тыс. пользователей.
Группа Scam Sniffer, объединяющая специалистов по борьбе с мошенничеством в среде Web3, в течение последних месяцев наблюдали целый ряд атак, в ходе которой эксплуатировалась легитимная функция Ethereum. В некоторых случаях личные потери пользователей достигали $1,6 млн.
Create2 - это код операции (опкод) в Ethereum, появившийся при обновлении до версии Constantinople. Его назначение - создавать смарт-контракты на блокчейне.
В отличие от первого вариант Create, который генерировал новые адреса на основе исходного адреса создателя и случайного одноразового числа, Create2 позволяет сгенерировать (вычислить) адрес до развертывания контракта.
Это весьма мощный инструмент для разработчиков Ethereum, благодаря которому становятся возможными продвинутые и гибкие операции с контрактами, пре-калькуляция контактных адресов на базе заданных параметров, гибкость развертывания, а также открывается возможность для транзакций вне блокчейна и так далее.
Однако при всех достоинствах есть и ряд проблем с безопасностью, приведших к появлению новых векторов атаки.
Отрава для адресов
По данным Scam Sniffer, Create2 позволяет генерировать новые адреса контрактов, с которыми не ассоциируются никакие случаи мошенничества, так что цифровые кошельки рассматривают их как чистые.
Когда жертва подписывается под мошеннической транзакцией, злоумышленник разворачивает контракт на предварительно сгенерированном адресе и переводит активы жертвы туда, а это необратимый процесс.
В одном из таких случаев жертва потеряла токены GMX на сумму 927 тыс., после того, как ее обманом заставили запустить транзакцию (подписать контракт) на предвычисленный адрес.
Кроме того, Create2 позволяет генерировать адреса, очень похожие на легитимные адреса получателей, так что жертва думает, что отправила средства на один адрес, а на самом деле они ушли на совсем другой.
Такая схема, получившая название address poisoning («отравление» адреса) предполагает генерацию большого количества адресов и подбор тех, которые отвечают текущим фишинговым планам злоумышленников - то есть, более всего походят для обмана жертв.
С августа 2023 г. члены Scam Sniffer подсчитали, что 11 жертв потеряли в общей сложности $3 млн долларов. Одна из них переправила активов на сумму $1,6 млн одной транзакцией на адрес, похожий на тот, на который данный пользователь направлял средства ранее. Потеря невозвратная.
Большинство таких атак производятся втихую, но некоторые все-таки привлекают внимание сообщества.
О проблеме говорят весь год
Как пишет Bleeping Computer, в начале года компания MetaMask предупреждала, что мошенники стали использовать свежесгенерированные адреса, чрезвычайно похожие на те, на которые их жертвы направляли средства ранее.
В некоторых случаях мошенники могут отправлять жертве небольшое количество криптовалют, чтобы зарегистрировать адрес в истории платежей кошелька жертвы, чтобы повысить шансы получения средств с ее стороны.
В начале августа 2023 г. оператор криптобиржи Binance по ошибке направил $20 млн мошенникам, которые использование «отравление адресов»; он быстро понял свою ошибку и заморозил адрес мошенников.
Любопытно, что в некоторых вредоносных программах, позволяющих перехватывать содержимое буфера обмена, уже встроена функция с подменой одного криптоадреса на другой, похожий. В частности, такая функция выявлена во вредоносе Laplas Clipper.
«Криптовалютные транзакции архитектурно отличаются от банковских - их невозможно отыграть назад, если на это нет доброй воли получателя. А если в деле мошенники, то, естественно, такой доброй воли они демонстрировать не будут», - говорит эксперт по информационной безопасности компании SEQ Михаил Зайцев. По его словам, единственным залогом безопасности транзакций оказывается внимание пользователя. «Криптовалютные приложения обычно выводят рекомендации тщательно проверять адреса при каждой транзакции. Однако это далеко не всегда спасает от крупных потерь», - подытожил Михаил Зайцев.
Эксперты рекомендуют проверять все символы в адресе, а не только первые и последние три или четыре. Злоумышленники хорошо знают, как воспользоваться низкой бдительностью потенциальных жертв.