&emoji=&slug=kriptovijesti&button_colour=b532ed&font_colour=ffffff&font_family=Poppins&outline_colour=ffffff&coffee_colour=FFDD00)
Zlonamjerni su akteri zlorabili Ethereumovu funkciju ‘Create2’ kako bi zaobišli sigurnosna upozorenja novčanika i otrovali adrese kriptovaluta, što je dovelo do krađe kriptovalute u vrijednosti od 60.000.000 dolara od 99.000 ljudi u šest mjeseci.
Ovo su izvijestili Web3 stručnjaci za borbu protiv prijevara u ‘Scam Sniffer’, koji su uočili nekoliko slučajeva eksploatacije funkcije u prirodi, u nekim slučajevima gubici koje je pretrpjela jedna osoba dosežu i do 1,6 milijuna dolara.
Legitimna funkcija
Create2 je opcode u Ethereumu, uveden u nadogradnji ‘Carigrad’, koji omogućuje stvaranje pametnih ugovora na blockchainu.
Za razliku od izvornog koda Create opcode, koji je generirao nove adrese na temelju adrese kreatora i nonce adrese, Create2 omogućuje izračunavanje adresa prije postavljanja ugovora.
To je moćan alat za Ethereum programere, koji omogućuje napredne i fleksibilne ugovorne interakcije, predizračun ugovorne adrese temeljen na parametrima, fleksibilnost implementacije, prikladnost za transakcije izvan lanca i određene dApps.
Create2 je uveo značajne prednosti, ali s njima je došlo i nekoliko sigurnosnih implikacija i novih vektora napada.
Zloupotreba koda Create2
Izvješće Scam Sniffera objašnjava da se Create2 može zloupotrijebiti za generiranje novih ugovornih adresa bez povijesti zlonamjernih/prijavljenih transakcija, čime se zaobilaze sigurnosna upozorenja novčanika.
Kada žrtva potpiše zlonamjernu transakciju, napadač postavlja ugovor na unaprijed izračunatu adresu i na nju prenosi žrtvinu imovinu, što je proces koji se ne može poništiti.
U nedavnom slučaju koji su primijetili analitičari, žrtva je izgubila GMX vrijedan 927.000 dolara nakon što je prevarena da potpiše ugovor o prijenosu koji je imovinu poslao na unaprijed izračunatu adresu.
Druga vrsta zlouporabe Create2 je generiranje adresa sličnih legitimnim onima u vlasništvu primatelja, čime se varaju korisnici da pošalju sredstva akterima prijetnje, misleći da ih šalju na poznatu adresu.
Shema, koja se naziva ‘trovanje adresa’, uključuje generiranje velikog broja adresa i odabir onih koje odgovaraju njihovim specifičnim potrebama za krađu identiteta svaki put kako bi se prevarile njihove mete.
Od kolovoza 2023. Scam Sniffer zabilježio je 11 žrtava koje su izgubile gotovo 3 milijuna dolara, a jedna od njih prebacila je 1,6 milijuna dolara na adresu sličnu onoj na koju su nedavno poslali novac.
Većina ovih napada prošla je ispod radara, tiho izvlačeći milijune, ali neki su privukli pozornost zajednice.
Početkom godine MetaMask je upozorio na prevarante koji koriste svježe generirane adrese koje odgovaraju onima koje je žrtva koristila u nedavnim transakcijama.
U prijevari akter prijetnje također može žrtvi poslati mali iznos u kriptovaluti da registrira adresu u povijesti novčanika, čime se povećavaju šanse da žrtva izvrši uplatu.
Početkom kolovoza 2023. Binanceov operater greškom poslao 20 milijuna dolara prevarantima koji je primijenio trik ‘trovanja adrese’, ali je brzo primijetio pogrešku i zamrznuo adresu primatelja.
Primjetno je da je korištenje sličnih adresa kriptovalute trik koji se može vidjeti u alatima za otmicu zlonamjernog softvera, poput Laplas Clippera, koji naglašava učinkovitost metode.
Prilikom obavljanja transakcija kriptovalutama uvijek je preporučljivo prije odobravanja dobro provjeriti adresu primatelja, a ne samo prva i zadnja tri-četiri znaka.
 &emoji=&slug=kriptovijesti&button_colour=b532ed&font_colour=ffffff&font_family=Comic&outline_colour=ffffff&coffee_colour=FFDD00)
