• bitcoinBitcoin (BTC) $ 92,070.00
  • ethereumEthereum (ETH) $ 3,007.78
  • tetherTether (USDT) $ 0.999490
  • dogecoinDogecoin (DOGE) $ 0.321645
  • usd-coinUSDC (USDC) $ 0.999896
  • cardanoCardano (ADA) $ 0.908502
  • tronTRON (TRX) $ 0.219219
  • stellarStellar (XLM) $ 0.408673
  • chainlinkChainlink (LINK) $ 18.46
  • hedera-hashgraphHedera (HBAR) $ 0.265392
  • leo-tokenLEO Token (LEO) $ 9.31
  • bitcoin-cashBitcoin Cash (BCH) $ 410.45
  • litecoinLitecoin (LTC) $ 94.93
  • moneroMonero (XMR) $ 197.98
  • ethereum-classicEthereum Classic (ETC) $ 23.66
  • daiDai (DAI) $ 0.999976
  • crypto-com-chainCronos (CRO) $ 0.128372
  • vechainVeChain (VET) $ 0.041523
  • algorandAlgorand (ALGO) $ 0.336763
  • okbOKB (OKB) $ 45.54
  • cosmosCosmos Hub (ATOM) $ 6.06
  • kucoin-sharesKuCoin (KCS) $ 10.48
  • tezosTezos (XTZ) $ 1.19
  • makerMaker (MKR) $ 1,296.04
  • eosEOS (EOS) $ 0.733251
  • iotaIOTA (IOTA) $ 0.303143
  • neoNEO (NEO) $ 13.67
  • zcashZcash (ZEC) $ 46.52
  • true-usdTrueUSD (TUSD) $ 1.00
  • dashDash (DASH) $ 34.01
  • 0x0x Protocol (ZRX) $ 0.442714
  • basic-attention-tokenBasic Attention (BAT) $ 0.227066
  • qtumQtum (QTUM) $ 2.96
  • ravencoinRavencoin (RVN) $ 0.017975
  • ontologyOntology (ONT) $ 0.251070
  • nemNEM (XEM) $ 0.024436
  • bitcoin-goldBitcoin Gold (BTG) $ 12.54
  • decredDecred (DCR) $ 12.63
  • huobi-tokenHuobi (HT) $ 1.14
  • iconICON (ICX) $ 0.172085
  • wavesWaves (WAVES) $ 1.77
  • liskLisk (LSK) $ 0.960470
  • paxos-standardPax Dollar (USDP) $ 1.00
  • bitcoin-diamondBitcoin Diamond (BCD) $ 0.058285
Безопасность

Как потеряно 143 ETH через подмену транзакций: детали атаки

В начале января произошел крупный инцидент, связанный с атакой на одного из пользователей Web3-кошелька. Жертва потеряла 143,45 ETH, что эквивалентно $460,89 тыс. Механизм атаки основан на подмене состояния блокчейна после проведения симуляции транзакции, что позволило злоумышленникам обмануть систему и вывести цифровые средства.

Симуляция транзакций стала важной функцией для пользователей современных кошельков. Она позволяет увидеть предполагаемый результат до подписания транзакции. Однако именно данная функция и стала уязвимостью. Хакеры используют задержку между симуляцией и реальным выполнением, чтобы манипулировать состоянием сети в свою пользу.

Схема работы проста, но эффективна. Пользователя заманивают на фишинговый сайт, предлагая, к примеру, «бесплатные токены». Сайт генерирует транзакцию, и кошелек показывает результат, где юзер якобы получит минимальную сумму ETH. Однако сразу после этого хакеры меняют состояние контракта. В итоге жертва подписывает транзакцию, которая вместо получения средств полностью опустошает кошелек.

«В этом случае модификация состояния произошла всего за 30 секунд между симуляцией и подписью. Это время оказалось достаточным для полного изменения логики контракта, что сделало атаку практически незаметной. Уровень автоматизации и скорость действий хакеров впечатляют, подчеркивая необходимость дополнительной защиты», — отметили эксперты Scam Sniffer.

Для предотвращения таких атак специалисты рекомендуют несколько важных мер. Во-первых, нужно внимательно проверять детали транзакции и избегать взаимодействия с подозрительными сайтами. Во-вторых, следует использовать только проверенные и надежные dApps. Также сейчас активно разрабатываются предложения по улучшению кошельков. Среди них — обновление симуляции на основе текущего времени блока, отображение временных меток и блок-номеров для результатов симуляции, а также внедрение систем предупреждения о рисках. Все это должно помочь пользователям минимизировать вероятность кражи средств.

Ошибка в тексте? Выделите её мышкой и нажмите Ctrl + Enter

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»