Нова функція на блокчейні Ethereum дозволила хакерам вкрасти $ 60 мільйонів у криптовалюті

Зловмисники знайшли спосіб обійти системи безпеки криптовалютних гаманців, використовуючи функцію Create2 у блокчейні Ethereum ETH $1,905.76 Bridged Ether (StarkGate) 0.34% Ринкова капіталізація $0.17 млрд VOL. 24 години $0.67 млрд . За останні шість місяців такий метод дав змогу вкрасти криптовалюту на суму $ 60 млн у 99 000 користувачів — про це заявили аналітики Scam Sniffer. У деяких випадках збитки окремих осіб досягали $ 1,6 млн.

Create2, представлений в оновленні Constantinople, дає змогу створювати смартконтракти в блокчейні з можливістю попереднього розрахунку їхніх адрес до розгортання. Хоча функція і є легітимною, вона створила нові вразливості в системі безпеки Ethereum.

Основний спосіб зловживання полягає у створенні нових адрес контрактів без історії підозрілих транзакцій. Зловмисники обманюють жертв, змушуючи їх підписувати шкідливі транзакції, після чого переводять активи на попередньо розраховані адреси. Так, одна з жертв втратила $ 927 000 у криптовалюті GMX, підписавши шахрайський контракт на переказ.

Інший метод, відомий як отруєння адреси (address poisoning), включає створення безлічі адрес, серед яких обирають ті, які схожі на легітимні адреси жертв. Таким чином, користувачі відправляють активи шахраям, помилково вважаючи, що переказують кошти на знайомі адреси. Із серпня 2023 року було зафіксовано 11 випадків, коли жертви втратили приблизно $ 3 млн у такий спосіб.

Атаки часто залишалися непоміченими, проте деякі привернули увагу громадськості. Так сервіс криптогаманців MetaMask попереджав про шахраїв, які використовують свіжостворені адреси, що збігаються з адресами, використаними жертвами в останніх транзакціях. В одному з випадків оператор Binance помилково відправив шахраям $ 20 млн, однак швидко помітив помилку і заморозив рахунок одержувача.

Фахівці підкреслюють, що метод використання схожих криптовалютних адрес нагадує тактику, використовувану шкідливим ПЗ для захоплення буфера обміну, наприклад, як це робить кліппер Laplas Clipper. У зв’язку з цим експерти наполегливо рекомендують користувачам ретельно перевіряти адреси одержувачів під час здійснення криптовалютних транзакцій, щоб уникнути схожих шахрайств.