15/11/23
Злоумышленники нашли способ обойти системы безопасности криптовалютных кошельков, используя функцию Create2 в блокчейне Ethereum. Такой метод позволил украсть криптовалюту на сумму $60 млн. у 99 000 пользователей за последние 6 месяцев, сообщает компания Scam Sniffer. В некоторых случаях убытки отдельных лиц достигали $1,6 млн, согласно Securitylab.
Create2, представленный в обновлении Constantinople, позволяет создавать смарт-контракты в блокчейне с возможностью предварительного расчета их адресов до развертывания. Функция, хоть и является легитимной, создала новые уязвимости в системе безопасности Ethereum.
Основной способ злоупотребления заключается в создании новых адресов контрактов без истории подозрительных транзакций. Злоумышленники обманывают жертв, заставляя их подписывать вредоносные транзакции, после чего переводят активы на предварительно рассчитанные адреса. Так, одна из жертв потеряла $927 000 в криптовалюте GMX, подписав мошеннический контракт на перевод.
Другой метод, известный как отравление адреса (address poisoning), включает создание множества адресов, среди которых выбираются те, которые похожи на легитимные адреса жертв. Таким образом, пользователи отправляют активы мошенникам, ошибочно полагая, что переводят средства на знакомые адреса. С августа 2023 года было зафиксировано 11 случаев, когда жертвы потеряли около $3 млн. таким способом.
Атаки часто оставались незаметными, однако некоторые привлекли внимание общественности. Сервис MetaMask предупреждал о мошенниках, использующих свежесозданные адреса, совпадающие с адресами, использованными жертвами в последних транзакциях. В одном из случаев оператор Binance по ошибке отправил мошенникам $20 млн., но быстро заметил ошибку и заморозил счет получателя.
Специалисты подчеркивают, что метод использования похожих криптовалютных адресов напоминает тактику, используемую вредоносным ПО для захвата буфера обмена, например, как это делает клиппер Laplas Clipper. В связи с этим эксперты настоятельно рекомендуют пользователям тщательно проверять адреса получателей при совершении криптовалютных транзакций, чтобы избежать подобных мошенничеств.
