Date vun Etherscan weisen datt verschidde Krypto-Scammers Benotzer mat engem neien Trick zielen, deen hinnen erlaabt eng Transaktioun aus dem Portemonnaie vum Affer ze bestätegen, awer ouni de private Schlëssel vum Affer ze hunn. D'Attack kann nëmme fir Transaktioune vun 0 Wäert gemaach ginn. Wéi och ëmmer, et kann e puer Benotzer verursaachen fir zoufälleg Tokens un den Ugräifer ze schécken als Resultat vum Ausschneiden a Paste vun enger gekaafter Transaktiounsgeschicht.
Blockchain Sécherheetsfirma SlowMist entdeckt déi nei Technik am Dezember an huet et an engem Blog Post verroden. Zënterhier hu béid SafePal an Etherscan Mitigatiounstechniken ugeholl fir hiren Effekt op d'Benotzer ze limitéieren, awer e puer Benotzer kënnen nach ëmmer net bewosst sinn iwwer seng Existenz.
Viru kuerzem hu mir Berichter vun der Gemeinschaft vun enger neier Aart vu Scam kritt: Zero Transfer Scam. Sidd virsiichteg wann Dir verdächteg 0 Transfer an Ärem Portemonnaie Rekord gesitt:
1/10
— Veronica (@V_SafePal) Dezember 14, 2022
Laut dem Post vu SlowMist funktionnéiert de Scam andeems se eng Transaktioun vun Null Tokens aus dem Portemonnaie vum Affer op eng Adress schéckt déi ähnlech ausgesäit wéi eng déi d'Affer virdru Tokens geschéckt huet.
Zum Beispill, wann d'Affer 100 Mënzen op eng Austausch Depot Adress geschéckt, kann den Ugräifer null Mënzen aus dem Portemonnaie d'Affer op eng Adress schécken déi ähnlech ausgesäit, mä dat ass, tatsächlech, ënner der Kontroll vun den Ugräifer. D'Affer kann dës Transaktioun an hirer Transaktiounsgeschicht gesinn a schléissen datt d'Adress déi ugewise gëtt déi richteg Depotadress ass. Als Resultat kënnen se hir Mënzen direkt un den Ugräifer schécken.
Schécken eng Transaktioun ouni Besëtzer Erlaabnis
Ënner normalen Ëmstänn brauch en Ugräifer de private Schlëssel vum Affer fir eng Transaktioun aus dem Portemonnaie vum Affer ze schécken. Awer d'Etherscan "Contract Tab" Feature weist datt et e Schleifen an e puer Token Kontrakter ass, déi en Ugräifer erlaben eng Transaktioun aus all Portemonnaie ze schécken.
Zum Beispill, de Code fir USD Coin (USDC) op Etherscan weist datt d'Funktioun "TransferFrom" erlaabt all Persoun Mënzen aus engem Portemonnaie vun enger anerer Persoun ze plënneren soulaang d'Quantitéit vun de Mënzen déi se schécken ass manner wéi oder gläich wéi de Betrag, dee vum Besëtzer vun der Adress erlaabt ass.
Dëst bedeit normalerweis datt en Ugräifer keng Transaktioun vun der Adress vun enger anerer Persoun maache kann, ausser de Besëtzer eng Erlaabnes fir si guttgeheescht.
Wéi och ëmmer, et gëtt e Schlëff an dëser Restriktioun. Den erlaabten Betrag gëtt als Zuel definéiert (genannt "uint256-Typ"), dat heescht datt et als Null interpretéiert gëtt, ausser et ass speziell op eng aner Zuel gesat. Dëst kann an der Funktioun "Allocation" gesi ginn.
Als Resultat, soulaang de Wäert vun der Transaktioun vum Ugräifer manner wéi oder gläich Null ass, kënnen se eng Transaktioun aus absolut all Portemonnaie schécken, deen se wëllen, ouni de private Schlëssel oder d'virun Genehmegung vum Besëtzer ze brauchen.
USDC ass net deen eenzegen Token deen dëst erlaabt ze maachen. Ähnleche Code kann an de meeschte Token Kontrakter fonnt ginn. Et kann souguer sinn fonnt am Beispill Kontrakter verbonne vun der offizieller Websäit vun der Ethereum Foundation.
Beispiller vum Nullwäerttransfer Scam
Etherscan weist datt e puer Portemonnaie Adressen Dausende vun Null-Wäert Transaktiounen pro Dag aus verschiddenen Affer Portemonnaien schécken ouni hir Zoustëmmung.
Zum Beispill, e Kont mam Label Fake_Phishing7974 benotzt en onverifizéierte Smart Kontrakt fir Maachen méi wéi 80 Bündel vun Transaktiounen den 12. Januar, mat all Bündel enthalen 50 Null-Wäert Transaktiounen fir am Ganzen 4,000 onerlaabten Transaktiounen an engem Dag.
falsch Adressen
Wann Dir all Transaktioun méi genau kuckt, weist e Motiv fir dëse Spam: Den Ugräifer schéckt Nullwäert Transaktiounen op Adressen déi ganz ähnlech ausgesinn wéi déi, déi d'Affer virdru Fongen geschéckt hunn.
Zum Beispill, Etherscan weist datt eng vun de Benotzeradressen, déi vum Ugräifer gezielt sinn, déi folgend ass:
0x20d7f90d9c40901488a935870e1e80127de11d74.
Den 29. Januar huet dëse Kont autoriséiert 5,000 Tether (USDT) fir op dës Empfangsadress geschéckt ze ginn:
0xa541efe60f274f813a834afd31e896348810bb09.
Direkt duerno huet Fake_Phishing7974 eng Nullwäert Transaktioun aus dem Portemonnaie vum Affer op dës Adress geschéckt:
0xA545c8659B0CD5B426A027509E55220FDa10bB09.
Déi éischt fënnef Zeeche an déi lescht sechs Zeeche vun dësen zwee Empfangsadressen si genee d'selwecht, awer d'Personnagen an der Mëtt sinn all komplett anescht. Den Ugräifer hu vläicht geduecht datt de Benotzer USDT op dës zweet (gefälschte) Adress schécken anstatt déi richteg, fir hir Mënzen dem Ugräifer ze ginn.
An dësem besonnesche Fall schéngt et datt de Betrüger net funktionnéiert huet, well Etherscan keng Transaktioune vun dëser Adress op eng vun de gefälschte Adressen weist, déi vum Scammer erstallt goufen. Awer de Volume vun Null-Wäert Transaktiounen, déi vun dësem Kont gemaach goufen, kann de Plang an anere Fäll geschafft hunn.
Portemonnaie a Block Explorer kënne wesentlech variéieren wéi oder ob se falsch Transaktioune weisen.
Portemonnaien
E puer Portemonnaie kënnen d'Spamtransaktiounen guer net weisen. Zum Beispill, MetaMask weist keng Transaktiounsgeschicht wann se nei installéiert ass, och wann de Kont selwer Honnerte vun Transaktiounen op der Blockchain huet. Dëst implizéiert datt et seng eege Transaktiounsgeschicht späichert anstatt d'Donnéeën aus der Blockchain ze zéien. Dëst sollt verhënneren datt d'Spamtransaktiounen an der Transaktiounsgeschicht vum Portemonnaie optauchen.
Op der anerer Säit, wann de Portemonnaie Daten direkt aus der Blockchain zitt, kënnen d'Spamtransaktiounen am Portemonnaie Display optrieden. An enger Dezember 13 Ukënnegung op Twitter, SafePal CEO Veronica Wong gewarnt SafePal Benotzer datt säi Portemonnaie d'Transaktioune weisen kann. Fir géint dëse Risiko ze reduzéieren, huet si gesot datt SafePal d'Art a Weis wéi d'Adressen a méi nei Versioune vu sengem Portemonnaie ugewise ginn, verännert fir et méi einfach ze maachen fir d'Benotzer d'Adressen z'inspektéieren.
(6/10) Doropshin hu mir Aktiounen ënnerholl:
1) Am leschte V3.7.3 Update, hu mir d'Längt vun der Portmonni Adress ugepasst an der Transaktiounsgeschicht ugewisen. Déi éischt an déi lescht 10 Ziffere vun der Portemonnaie Adress ginn am Standard ugewisen, fir d'Adressuntersuchung— Veronica (@V_SafePal) Dezember 14, 2022
Am Dezember huet ee Benotzer och gemellt datt hiren Trezor Portemonnaie war weisen täuschend Transaktiounen.
Cointelegraph erreecht per E-Mail un den Trezor Entwéckler SatoshiLabs fir Kommentar. Als Äntwert huet e Vertrieder gesot datt de Portemonnaie seng Transaktiounsgeschicht direkt aus der Blockchain zitt "all Kéier wann d'Benotzer hiren Trezor Portemonnaie pluggen."
Wéi och ëmmer, d'Team mécht Schrëtt fir d'Benotzer vum Scam ze schützen. An engem Upëff vum Trezor Suite Update, wäert d'Software "déi verdächteg Null-Wäert Transaktioune markéieren, sou datt d'Benotzer alarméiert ginn datt sou Transaktioune potenziell betrügeresch sinn." D'Firma huet och uginn datt de Portemonnaie ëmmer déi voll Adress vun all Transaktioun weist an datt se "staark recommandéieren datt d'Benotzer ëmmer déi voll Adress kontrolléieren, net nëmmen déi éischt a lescht Zeechen."
Block Entdecker
Ausser Portemonnaie sinn Block Explorer eng aner Zort Software déi benotzt ka ginn fir Transaktiounsgeschicht ze gesinn. E puer Entdecker kënnen dës Transaktiounen op eng Manéier weisen, datt d'Benotzer onbewosst täuschen, sou wéi e puer Portemonnaien.
Fir géint dës Bedrohung ze reduzéieren, huet Etherscan ugefaang Null-Wäert Token Transaktiounen ze gräifen, déi net vum Benotzer initiéiert ginn. Et markéiert och dës Transaktioune mat enger Alarm déi seet: "Dëst ass en Null-Wäert Token Transfert initiéiert vun enger anerer Adress", wéi beweist vum Bild hei drënner.
Aner Block Explorer hu vläicht déiselwecht Schrëtt wéi Etherscan gemaach fir d'Benotzer iwwer dës Transaktiounen ze warnen, awer e puer hunn dës Schrëtt nach net ëmgesat.
Tipps fir den 'Nullwäert TransferFrom' Trick ze vermeiden
De Cointelegraph huet de SlowMist kontaktéiert fir Berodung iwwer wéi een den Trick "Nullwäert TransferFrom" vermeide kann.
E Vertrieder vun der Firma huet Cointelegraph eng Lëscht mat Tipps ginn fir ze vermeiden Affer vum Attack ze ginn:
- "Sief virsiichteg a verifizéiert d'Adress ier Dir Transaktiounen ausféiert."
- "Benotzt d'Whitelist Feature an Ärem Portemonnaie fir ze verhënneren datt Fongen op déi falsch Adressen geschéckt ginn."
- "Bleift waakreg an informéiert. Wann Dir verdächteg Transfere begéint, huelt d'Zäit fir d'Saach roueg z'ënnersichen fir Affer vu Scammers ze vermeiden.
- "Bleift e gesonden Niveau vu Skepsis, bleift ëmmer virsiichteg a waakreg."
Vun dësem Rot beuerteelen, ass déi wichtegst Saach fir Krypto-Benotzer ze erënneren, d'Adress ëmmer z'iwwerpréiwen ier Dir Krypto dohinner schéckt. Och wann d'Transaktiounsrekord schéngt ze implizéieren datt Dir Krypto op d'Adress virdru geschéckt hutt, kann dës Erscheinung täuschen.
Quell: https://cointelegraph.com/news/scammers-are-targeting-crypto-users-with-new-zero-value-transferfrom-trick