Zdroj: Pixabay.com
Podvodníci používají novou metodu potvrzování transakcí s nulovou hodnotou z peněženky oběti, aniž by měli přístup k jejímu soukromému klíči. Bezpečnostní firma SlowMist tuto techniku objevila v prosinci a informovala o ní prostřednictvím příspěvku na blogu. Aby se minimalizoval dopad na uživatele, přijaly společnosti SafePal i Etherscan opatření, ale někteří jedinci o této hrozbě stále nevědí.
Podle příspěvku společnosti SlowMist podvod funguje tak, že útočník odešle transakci s nulovým počtem tokenů z peněženky oběti na adresu, která se podobá adrese, na kterou oběť tokeny dříve odeslala. Pokud například oběť poslala 100 mincí na adresu pro vklad na burze, útočník může poslat nula mincí z peněženky oběti na podobně vypadající adresu, kterou má ve skutečnosti pod kontrolou. To by mohlo způsobit, že oběť uvidí tuto transakci ve své historii a mylně se bude domnívat, že zobrazená adresa je správná adresa pro vklad, což povede k tomu, že oběť pošle své mince přímo útočníkovi.
Tip: Chcete-li si prostřednictvím nákupu digitálních mincí stejně jako my ukořistit kousek lepší budoucnosti, pak jste tu správně. Můžete začít teď a tady. My jsme se na vzrušující výpravu do světa kryptoměn již vydali. Přidáte se také? Zde si můžete přečíst a podívat na video návod, kde založit Bitcoin peněženku a jak si koupit váš první Bitcoin.
Za normálních okolností by útočník potřeboval soukromý klíč oběti, aby mohl odeslat transakci z její peněženky, ale funkce “contract tab” na webu Etherscan odhaluje mezeru, která útočníkovi umožňuje odeslat transakci z jakékoli peněženky. Například kód pro USD Coin (USDC) na Etherscan ukazuje, že funkce “TransferFrom” umožňuje komukoli přesunout mince z cizí peněženky, pokud je částka, kterou posílá, menší nebo rovna částce povolené vlastníkem adresy.
Útočník obvykle nemůže provést transakci z cizí adresy, pokud ji majitel neschválil. Toto omezení má však slabinu. Povolená částka je definována jako číslo (známé jako “typ uint256“), které je interpretováno jako nula, pokud není nastaveno na jiné číslo. To je vidět na funkci “allowance“.
Zdroj: Cointelegraph / Kód: uint256
Výsledkem je, že pokud je hodnota útočníkovy transakce menší nebo rovna nule, může odeslat transakci z jakékoli peněženky bez soukromého klíče nebo svolení vlastníka. Nejedná se pouze o problém USDC, podobný kód lze nalézt i v mnoho jiných případech.
Etherscan odhalil, že některé adresy odesílají denně tisíce transakcí s nulovou hodnotou z peněženek různých obětí bez jejich svolení. Například 12. ledna použil účet s názvem Fake_Phishing7974 „unverified smart contract“ k provedení více než 80 dávek transakcí, přičemž každá dávka obsahovala 50 transakcí s nulovou hodnotou, což vedlo k celkovému počtu 4 000 neoprávněných transakcí za jeden den.
Zavádějící adresy
Útočník odesílá transakce s nulovou hodnotou na adresy, které jsou podobné adresám, jež oběť použila v minulých transakcích. Například adresa použitá obětí pro legitimní transakci může být 0x20d7f90d9c40901488a935870e1e80127de11d74 a útočník může poslat transakci s nulovou hodnotou na adresu, která vypadá podobně, například 0xA545c8659B0CD5B426A027509E55220FDa10bB09. Cílem útočníka je, aby si oběť spletla falešnou adresu se skutečnou a poslala útočníkovi své coiny. V některých případech byl podvod úspěšný, zatímco v jiných na něj oběť nenaletěla. Způsob zobrazení klamavých transakcí se může u jednotlivých peněženek a block explorerů lišit.
Tip: Vytvořili jsme obrázky (NFT) v počtu 50 kusů, které vypráví příběh o samotném Bitcoinu. Tento příběh je vyprávěn od úplného vzniku Bitcoinu až po aktuální současnost. Každý obrázek bude obsahovat popisek pro dané téma v daném časovém úseku. Více informací o projektu naleznete na webu BitcoiNFT.cz
Peněženky
Způsob, jakým peněženka zobrazuje transakce může být různý. Některé peněženky, například MetaMask, nemusí ve své historii zobrazovat „spam transactions“, protože ukládají vlastní historii transakcí, místo aby ji načítaly z blockchainu. Jiné peněženky, které přímo načítají data z blockchainu, však „spam transactions“ zobrazovat mohou. V rámci boje proti tomuto problému oznámila generální ředitelka společnosti SafePal Veronica Wongová, že společnost mění zobrazování adres v nových verzích své peněženky, aby je uživatelé mohli snadněji verifikovat.
Jeden uživatel nahlásil, že jeho peněženka Trezor v prosinci také vykazovala „false transactions“. Cointelegraph oslovil vývojáře Trezoru, společnost SatoshiLabs, s žádostí o vyjádření. Zástupce společnosti v odpovědi uvedl, že peněženka při každém připojení tahá historii transakcí přímo z blockchainu. Aby společnost ochránila uživatele před tímto podvodem, plánuje do nadcházející aktualizace sady Trezor Suite zahrnout funkci, která označí všechny podezřelé transakce s nulovou hodnotou a upozorní uživatele na potenciální podvod. Zástupce také zdůraznil, že je důležité kontrolovat celou adresu každé transakce, a ne pouze první a poslední znak.
Block explorers
V rámci boje proti hrozbě „misleading transactions“ přijala společnost Etherscan určitá opatření. Block explorer nyní šedě označuje převody tokenů s nulovou hodnotou, které nebyly iniciovány uživatelem. Tyto transakce jsou navíc označeny varováním ve znění “Jedná se o převod tokenu s nulovou hodnotou iniciovaný jinou adresou“, aby bylo zřejmé, že nebyly iniciovány samotným uživatelem.
Abyste se nestali obětí triku “zero-value TransferFrom” obrátil se Cointelegraph na společnost SlowMist s žádostí o radu. Zástupce společnosti poskytl seznam tipů, jak se tomuto typu útoku vyhnout:
- Před prováděním transakcí buďte obezřetní a ověřte si adresu.
- Použijte funkci whitelist ve své peněžence, abyste zabránili odesílání prostředků na nesprávné adresy.
- Zůstaňte informovaní a ostražití. Pokud se setkáte s podezřelými převody, věnujte čas pečlivému prozkoumání situace, abyste se vyhnuli podvodu.
- Zachovejte si zdravou míru skepse a buďte vždy obezřetní.
Pro uživatele je nejdůležitější, aby si pamatovali, že před odesláním kryptoměn vždy dvakrát zkontrolujte adresu, a to i v případě, že se zdá, že historie transakcí ukazuje, že jste na tuto adresu již dříve poslali finanční prostředky.
Zdroj: Cointelegraph
Kryptoguru a jeho cesta
Někteří se ptají proč má Guru přes jedno oko pásku. Ne, není to pirát, ani hacker. Guru může být vaším průvodcem ve světě kryptoměn, který informace nabízí, ale nevnucuje. V tom, do čeho investovat nebo jak se rozhodnout, to je jen a jen na vás. Oko zakryté páskou znamená, že budoucnost je skryta. Nevidí do ní nikdo, ani Guru. Život je cesta a Bitcoin je směr, který jsme se rozhodli následovat. Myslíme, že budoucnost kryptoměn bude ještě pořádná jízda. Svezete se?
Dále můžeme zajistit kompletní mining služby například: poradenství, kompletace rigu (těžba pomoci GPU) nebo dle přání výrobu konstrukcí. Kontakt: info@kryptoguru.cz
Mia Purrfect je roztomilý kreativní malý nerd. Je to někdo, kdo je velmi inteligentní a zároveň velmi milý a příjemný. Je plná nápadů a vždy se snaží přinést něco nového a zajímavého. Má ale jednu vadu na kráse: nemá ráda lidi. To ji ale nebrání v tom, aby byla vždy velmi laskavá a ochotná pomoci, pokud to je v jejích silách. Její kreativita a láska k umění ji činí jedinečnou a zajímavou osobou.