Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Новая функция в блокчейне Ethereum Create2 стала причиной кражи $60 млн

15/11/23

cryptocurrency5

 

Злоумышленники нашли способ обойти системы безопасности криптовалютных кошельков, используя функцию Create2 в блокчейне Ethereum. Такой метод позволил украсть криптовалюту на сумму $60 млн. у 99 000 пользователей за последние 6 месяцев, сообщает компания Scam Sniffer. В некоторых случаях убытки отдельных лиц достигали $1,6 млн, согласно Securitylab.

Create2, представленный в обновлении Constantinople, позволяет создавать смарт-контракты в блокчейне с возможностью предварительного расчета их адресов до развертывания. Функция, хоть и является легитимной, создала новые уязвимости в системе безопасности Ethereum.

Основной способ злоупотребления заключается в создании новых адресов контрактов без истории подозрительных транзакций. Злоумышленники обманывают жертв, заставляя их подписывать вредоносные транзакции, после чего переводят активы на предварительно рассчитанные адреса. Так, одна из жертв потеряла $927 000 в криптовалюте GMX, подписав мошеннический контракт на перевод.

Другой метод, известный как отравление адреса (address poisoning), включает создание множества адресов, среди которых выбираются те, которые похожи на легитимные адреса жертв. Таким образом, пользователи отправляют активы мошенникам, ошибочно полагая, что переводят средства на знакомые адреса. С августа 2023 года было зафиксировано 11 случаев, когда жертвы потеряли около $3 млн. таким способом.

Атаки часто оставались незаметными, однако некоторые привлекли внимание общественности. Сервис MetaMask предупреждал о мошенниках, использующих свежесозданные адреса, совпадающие с адресами, использованными жертвами в последних транзакциях. В одном из случаев оператор Binance по ошибке отправил мошенникам $20 млн., но быстро заметил ошибку и заморозил счет получателя.

Специалисты подчеркивают, что метод использования похожих криптовалютных адресов напоминает тактику, используемую вредоносным ПО для захвата буфера обмена, например, как это делает клиппер Laplas Clipper. В связи с этим эксперты настоятельно рекомендуют пользователям тщательно проверять адреса получателей при совершении криптовалютных транзакций, чтобы избежать подобных мошенничеств.

Темы:Блокчейн и криптовалютаПреступленияEthereum
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

  • Блокчейн на досмотре. Таможня охотится за цифровым добром
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    В России сложилась беспрецедентная ситуация в сфере таможенного и валютного контроля, связанная с неконтролируемым вывозом цифровых валют, когда примерно две трети экономики нашей страны работает в тени с USDT, – в основном из-за санкционного давления.
  • Оракулы, их проблемы и уязвимости
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Технология блокчейна изменила представление о безопасности, прозрачности и децентрализации в цифровом мире. Однако ее возможности ограничиваются лишь событиями и данными, происходящими внутри самой цепочки блоков.
  • Уязвимости и недостатки протоколов выпуска токенов в сети Биткоин
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    С 2023 г. в сеть Биткоин стали внедряться новые протоколы, и текущий год ознаменовался их активным использованием: Runes, BRC320, ARC320, Ordinals NFT. Эти нововведения не просто носят технический характер, они повлияли на всю экосистему первой криптовалюты, причем не только с точки зрения возможностей и удобства, но и с точки зрения информационной безопасности. Все началось с протокола Ordinals.
  • Блокчейн в России: взгляд сквозь призму практики
    Кажется, мы стали забывать, что блокчейн как технология обладает многогранным потенциалом и выходит далеко за рамки криптовалют. Практические российские проекты в этой сфере имеют свои особенности, учитывающие не только специфику предметной области и требования законодательства, но и опыт криптовалютных реализаций блокчейна, как позитивный, так и негативный.
  • Управление уязвимостями в криптокошельках
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Криптовалюта не лежит на кошельках, это всего лишь способ хранения закрытого (секретного) ключа. Примерно как на пластиковой банковской карте нет самих денег, она лишь открывает доступ к банковскому счету.
  • Искусственный интеллект и блокчейн
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Анализируя синергию этих двух мощных инструментов, сосредоточим внимание на том, как их объединение может стать катализатором для создания более эффективных, безопасных и прозрачных решений.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...