Etherscan-ի տվյալները ցույց են տալիս, որ որոշ կրիպտո խաբեբաներ թիրախավորում են օգտատերերին նոր հնարքով, որը թույլ է տալիս նրանց հաստատել գործարքը զոհի դրամապանակից, բայց առանց տուժողի անձնական բանալին: Հարձակումը կարող է իրականացվել միայն 0 արժեքով գործարքների համար: Այնուամենայնիվ, դա կարող է պատճառ դառնալ, որ որոշ օգտատերեր պատահաբար գրոհայիններ ուղարկեն հարձակվողին` առևանգված գործարքների պատմությունից կտրելու և տեղադրելու արդյունքում:
Blockchain անվտանգության SlowMist ընկերություն հայտնաբերել նոր տեխնիկան դեկտեմբերին և բացահայտեց այն բլոգի գրառման մեջ: Այդ ժամանակից ի վեր և՛ SafePal-ը, և՛ Etherscan-ը որդեգրել են մեղմացման մեթոդներ՝ սահմանափակելու դրա ազդեցությունը օգտատերերի վրա, սակայն որոշ օգտատերեր կարող են դեռ տեղյակ չլինեն դրա գոյության մասին:
Վերջերս համայնքից հաղորդումներ ստացանք նոր տեսակի խարդախության՝ Zero Transfer Scam-ի մասին: Զգույշ եղեք, եթե ձեր դրամապանակում կասկածելի 0 փոխանցում եք տեսնում.
1/10
— Վերոնիկա (@V_SafePal) Դեկտեմբերի 14, 2022
Ըստ SlowMist-ի գրառման՝ խարդախությունն աշխատում է՝ զոհի դրամապանակից զրոյական նշանով գործարք ուղարկելով այն հասցեին, որը նման է այն հասցեին, որին զոհը նախկինում ժետոններ էր ուղարկել:
Օրինակ, եթե տուժողը 100 մետաղադրամ է ուղարկել փոխանակման ավանդի հասցեով, հարձակվողը կարող է զոհի դրամապանակից զրոյական մետաղադրամ ուղարկել այնպիսի հասցե, որը նման է, բայց իրականում գտնվում է հարձակվողի հսկողության ներքո: Տուժողը կարող է տեսնել այս գործարքը իր գործարքների պատմության մեջ և եզրակացնել, որ նշված հասցեն ճիշտ ավանդի հասցեն է: Արդյունքում նրանք կարող են իրենց մետաղադրամներն ուղարկել անմիջապես հարձակվողին:
Գործարքի ուղարկում առանց սեփականատիրոջ թույլտվության
Նորմալ պայմաններում հարձակվողին անհրաժեշտ է զոհի անձնական բանալին՝ տուժողի դրամապանակից գործարք ուղարկելու համար: Բայց Etherscan-ի «պայմանագրի ներդիրը» հնարավորությունը բացահայտում է, որ որոշ նշանների պայմանագրերում կա բաց, որը կարող է հարձակվողին թույլ տալ գործարք ուղարկել ցանկացած դրամապանակից:
Օրինակ, Etherscan-ի վրա USD Coin-ի (USDC) կոդը ցույց է տալիս, որ «TransferFrom» ֆունկցիան ցանկացած անձի թույլ է տալիս մետաղադրամներ տեղափոխել մեկ այլ անձի դրամապանակից, քանի դեռ նրանց ուղարկած մետաղադրամների քանակը փոքր է կամ հավասար է հասցեի սեփականատիրոջ կողմից թույլատրված գումարին:
Սա սովորաբար նշանակում է, որ հարձակվողը չի կարող գործարք կատարել մեկ այլ անձի հասցեից, քանի դեռ սեփականատերը չի հաստատել նրանց համար նպաստը:
Այնուամենայնիվ, այս սահմանափակման մեջ կա սողանցք: Թույլատրված գումարը սահմանվում է որպես թիվ (կոչվում է «uint256 տեսակ»), ինչը նշանակում է, որ այն մեկնաբանվում է որպես զրո, եթե այն հատուկ սահմանված չէ որևէ այլ թվի համար: Դա երևում է «նպաստ» գործառույթից:
Արդյունքում, քանի դեռ հարձակվողի գործարքի արժեքը փոքր է կամ հավասար է զրոյին, նրանք կարող են գործարք ուղարկել բացարձակապես ցանկացած դրամապանակից, որը ցանկանում են՝ առանց անձնական բանալիի կամ սեփականատիրոջ կողմից նախնական հաստատման կարիքի:
USDC-ն միակ նշանը չէ, որը թույլ է տալիս դա անել: Նմանատիպ ծածկագիրը կարելի է գտնել խորհրդանշական պայմանագրերի մեծ մասում: Դա նույնիսկ կարող է լինել հայտնաբերել օրինակների պայմանագրերում, որոնք կապված են Ethereum հիմնադրամի պաշտոնական կայքից:
Զրոյական արժեքի փոխանցման խաբեության օրինակներ
Etherscan-ը ցույց է տալիս, որ դրամապանակների որոշ հասցեներ օրական հազարավոր զրոյական արժեքով գործարքներ են ուղարկում տարբեր զոհերի դրամապանակներից՝ առանց նրանց համաձայնության:
Օրինակ՝ Fake_Phishing7974 պիտակով հաշիվն օգտագործել է չստուգված խելացի պայմանագիր կատարել հունվարի 80-ին գործարքների ավելի քան 12 փաթեթ՝ յուրաքանչյուր փաթեթով պարունակող 50 զրոյական արժեքով գործարք մեկ օրում ընդհանուր առմամբ 4,000 չարտոնված գործարքի համար:
մոլորեցնող հասցեներ
Յուրաքանչյուր գործարքի ավելի ուշադիր նայելը բացահայտում է այս սպամի դրդապատճառը. հարձակվողը զրոյական արժեքի գործարքներ է ուղարկում հասցեներով, որոնք շատ նման են այն հասցեներին, որոնց նախկինում զոհերը միջոցներ են ուղարկել:
Օրինակ, Etherscan-ը ցույց է տալիս, որ հարձակվողի կողմից թիրախավորված օգտվողի հասցեներից մեկը հետևյալն է.
0x20d7f90d9c40901488a935870e1e80127de11d74.
Հունվարի 29-ին այս հաշիվը թույլ տվեց 5,000 Tether (USDT) ուղարկել այս ստացող հասցեին՝
0xa541efe60f274f813a834afd31e896348810bb09.
Անմիջապես դրանից հետո Fake_Phishing7974-ը տուժողի դրամապանակից զրոյական արժեքի գործարք է ուղարկել այս հասցեով.
0xA545c8659B0CD5B426A027509E55220FDa10bB09.
Այս երկու ստացող հասցեների առաջին հինգ նիշերը և վերջին վեց նիշերը լրիվ նույնն են, բայց մեջտեղի նիշերը բոլորովին տարբեր են: Հարձակվողը, հնարավոր է, նպատակ ուներ, որ օգտատերը իրական հասցեի փոխարեն USDT ուղարկի այս երկրորդ (կեղծ) հասցեին՝ տալով իր մետաղադրամները հարձակվողին:
Կոնկրետ այս դեպքում, թվում է, որ խարդախությունը չի աշխատել, քանի որ Etherscan-ը չի ցուցադրում որևէ գործարք այս հասցեից դեպի կեղծ հասցեներից մեկը, որը ստեղծվել է խաբեբաների կողմից: Բայց հաշվի առնելով այս հաշվի կողմից կատարված զրոյական արժեքով գործարքների ծավալը, պլանը կարող էր աշխատել այլ դեպքերում:
Դրամապանակները և բլոկների հետախույզները կարող են էականորեն տարբերվել այն հարցում, թե ինչպես կամ ցույց են տալիս ապակողմնորոշիչ գործարքներ:
Դրամապանակներ
Որոշ դրամապանակներ կարող են ընդհանրապես չցուցադրել սպամ գործարքները: Օրինակ, MetaMask-ը ցույց չի տալիս գործարքների պատմությունը, եթե այն նորից տեղադրվի, նույնիսկ եթե հաշիվն ինքն ունի հարյուրավոր գործարքներ բլոկչեյնում: Սա ենթադրում է, որ այն պահպանում է իր սեփական գործարքների պատմությունը, այլ ոչ թե տվյալները բլոկչեյնից հանելու: Սա պետք է թույլ չտա, որ սպամ գործարքները հայտնվեն դրամապանակի գործարքների պատմության մեջ:
Մյուս կողմից, եթե դրամապանակը տվյալներ է հանում անմիջապես բլոկչեյնից, ապա սպամի գործարքները կարող են հայտնվել դրամապանակի էկրանին: Դեկտեմբերի 13-ին Twitter-ում արված հայտարարության մեջ SafePal-ի գործադիր տնօրեն Վերոնիկա Վոնգը զգուշացրել SafePal-ի օգտատերերը, որոնց դրամապանակը կարող է ցուցադրել գործարքները: Այս վտանգը մեղմելու համար նա ասաց, որ SafePal-ը փոխում է հասցեների ցուցադրման ձևն իր դրամապանակի նոր տարբերակներում, որպեսզի օգտվողների համար հեշտացնի հասցեները ստուգելը:
(6/10) Այս կապակցությամբ մենք ձեռնարկել ենք գործողություններ.
1) Վերջին V3.7.3 թարմացումում մենք ճշգրտել ենք գործարքների պատմության մեջ ցուցադրվող դրամապանակի հասցեի երկարությունը: Դրամապանակի հասցեի առաջին և վերջին 10 նիշերը կցուցադրվեն լռելյայն՝ հասցեի քննության համար— Վերոնիկա (@V_SafePal) Դեկտեմբերի 14, 2022
Դեկտեմբերին օգտատերերից մեկը հայտնել էր նաև, որ իրենց Trezor դրամապանակը եղել է ցուցադրում ապակողմնորոշիչ գործարքներ.
Cointelegraph-ը էլեկտրոնային փոստով դիմել է Trezor-ի մշակող SatoshiLabs-ին՝ մեկնաբանության համար: Ի պատասխան՝ ներկայացուցիչը հայտարարեց, որ դրամապանակն իր գործարքների պատմությունն ուղղակիորեն քաշում է բլոկչեյնից «ամեն անգամ, երբ օգտվողները միացնում են իրենց Trezor դրամապանակը»:
Այնուամենայնիվ, թիմը քայլեր է ձեռնարկում օգտատերերին խարդախությունից պաշտպանելու համար: Trezor Suite-ի առաջիկա թարմացման ժամանակ ծրագրաշարը «կնշի կասկածելի զրոյական արժեքով գործարքները, որպեսզի օգտատերերը զգուշանան, որ նման գործարքները պոտենցիալ խարդախ են»: Ընկերությունը նաև նշել է, որ դրամապանակը միշտ ցուցադրում է յուրաքանչյուր գործարքի ամբողջական հասցեն, և որ իրենք «խստորեն խորհուրդ են տալիս օգտվողներին միշտ ստուգել ամբողջական հասցեն, ոչ միայն առաջին և վերջին նիշերը»:
Արգելափակել հետախույզներին
Բացի դրամապանակներից, բլոկների հետախույզները ծրագրաշարի մեկ այլ տեսակ են, որոնք կարող են օգտագործվել գործարքների պատմությունը դիտելու համար: Որոշ հետազոտողներ կարող են ցուցադրել այդ գործարքները այնպես, որ ակամա մոլորեցնեն օգտատերերին, ինչպես դա անում են որոշ դրամապանակներ:
Այս սպառնալիքը մեղմելու համար Etherscan-ը սկսել է մոխրացնել զրոյական արժեք ունեցող գործարքները, որոնք չեն նախաձեռնվել օգտագործողի կողմից: Այն նաև նշում է այս գործարքները ահազանգով, որն ասում է. «Սա զրոյական արժեքով նշանի փոխանցում է, որը նախաձեռնվել է մեկ այլ հասցեի կողմից», ինչպես վկայում է ստորև ներկայացված պատկերը:
Բլոկի այլ հետազոտողներ կարող են ձեռնարկել նույն քայլերը, ինչ Etherscan-ը՝ զգուշացնելու օգտատերերին այս գործարքների մասին, բայց ոմանք դեռ չեն իրականացրել այդ քայլերը:
«Զրո արժեք TransferFrom» հնարքից խուսափելու խորհուրդներ
Cointelegraph-ը դիմեց SlowMist-ին՝ խորհուրդ տալու, թե ինչպես խուսափել «զրոյական արժեք TransferFrom» հնարքի զոհը դառնալու համար:
Ընկերության ներկայացուցիչը Cointelegraph-ին տվել է հարձակման զոհ չդառնալու խորհուրդների ցուցակ.
- «Զգույշ եղեք և ստուգեք հասցեն՝ որևէ գործարք կատարելուց առաջ»:
- «Օգտագործեք սպիտակ ցուցակի հատկությունը ձեր դրամապանակում, որպեսզի կանխեք միջոցները սխալ հասցեներով ուղարկելը»:
- «Մնա զգոն և տեղեկացված. Եթե որևէ կասկածելի փոխանցումների եք հանդիպում, ժամանակ տրամադրեք՝ հարցը հանգիստ հետաքննելու համար, որպեսզի խաբեբաների զոհ չդառնաք»:
- «Պահպանեք թերահավատության առողջ մակարդակ, միշտ եղեք զգույշ և զգոն»:
Դատելով այս խորհուրդից՝ ամենակարևորը, որ պետք է հիշեն կրիպտո օգտատերերը՝ միշտ ստուգել հասցեն՝ նախքան դրան կրիպտո ուղարկելը: Նույնիսկ եթե գործարքի գրառումը ենթադրում է, որ դուք նախկինում կրիպտո եք ուղարկել այդ հասցեին, այս տեսքը կարող է խաբել:
Աղբյուր՝ https://cointelegraph.com/news/scammers-are-targeting-crypto-users-with-new-zero-value-transferfrom-trick