Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Новая функция в блокчейне Ethereum Create2 стала причиной кражи $60 млн

15/11/23

cryptocurrency5

 

Злоумышленники нашли способ обойти системы безопасности криптовалютных кошельков, используя функцию Create2 в блокчейне Ethereum. Такой метод позволил украсть криптовалюту на сумму $60 млн. у 99 000 пользователей за последние 6 месяцев, сообщает компания Scam Sniffer. В некоторых случаях убытки отдельных лиц достигали $1,6 млн, согласно Securitylab.

Create2, представленный в обновлении Constantinople, позволяет создавать смарт-контракты в блокчейне с возможностью предварительного расчета их адресов до развертывания. Функция, хоть и является легитимной, создала новые уязвимости в системе безопасности Ethereum.

Основной способ злоупотребления заключается в создании новых адресов контрактов без истории подозрительных транзакций. Злоумышленники обманывают жертв, заставляя их подписывать вредоносные транзакции, после чего переводят активы на предварительно рассчитанные адреса. Так, одна из жертв потеряла $927 000 в криптовалюте GMX, подписав мошеннический контракт на перевод.

Другой метод, известный как отравление адреса (address poisoning), включает создание множества адресов, среди которых выбираются те, которые похожи на легитимные адреса жертв. Таким образом, пользователи отправляют активы мошенникам, ошибочно полагая, что переводят средства на знакомые адреса. С августа 2023 года было зафиксировано 11 случаев, когда жертвы потеряли около $3 млн. таким способом.

Атаки часто оставались незаметными, однако некоторые привлекли внимание общественности. Сервис MetaMask предупреждал о мошенниках, использующих свежесозданные адреса, совпадающие с адресами, использованными жертвами в последних транзакциях. В одном из случаев оператор Binance по ошибке отправил мошенникам $20 млн., но быстро заметил ошибку и заморозил счет получателя.

Специалисты подчеркивают, что метод использования похожих криптовалютных адресов напоминает тактику, используемую вредоносным ПО для захвата буфера обмена, например, как это делает клиппер Laplas Clipper. В связи с этим эксперты настоятельно рекомендуют пользователям тщательно проверять адреса получателей при совершении криптовалютных транзакций, чтобы избежать подобных мошенничеств.

Темы:Блокчейн и криптовалютаПреступленияEthereum
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

  • Блокчейн в России: взгляд сквозь призму практики
    Кажется, мы стали забывать, что блокчейн как технология обладает многогранным потенциалом и выходит далеко за рамки криптовалют. Практические российские проекты в этой сфере имеют свои особенности, учитывающие не только специфику предметной области и требования законодательства, но и опыт криптовалютных реализаций блокчейна, как позитивный, так и негативный.
  • Управление уязвимостями в криптокошельках
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Криптовалюта не лежит на кошельках, это всего лишь способ хранения закрытого (секретного) ключа. Примерно как на пластиковой банковской карте нет самих денег, она лишь открывает доступ к банковскому счету.
  • Искусственный интеллект и блокчейн
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Анализируя синергию этих двух мощных инструментов, сосредоточим внимание на том, как их объединение может стать катализатором для создания более эффективных, безопасных и прозрачных решений.
  • Сайдчейны, кроссчейн-мосты и вопросы безопасности
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    С ростом популярности сайдчейны и кроссчейны становятся объектами повышенного внимания злоумышленников, и вопросы безопасности становятся для них все более актуальными
  • Доказательство с нулевым разглашением и его роль в информационной безопасности
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Довольно часто фундаментальные исследования прошлого века обретают новую жизнь в современном мире, находя свое применение на переднем крае технологий. Одним из таких примеров стала идея доказательства с нулевым разглашением, которая органично вписалась в вопросы информационной безопасности
  • Страхование рисков в криптосфере: защита цифровых активов и обеспечение безопасности
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Во всем мире криптострахование все еще находится в стадии развития. В российской криптосфере такая практика практически отсутствует

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...