ข้อมูลจาก Etherscan แสดงให้เห็นว่านักต้มตุ๋น crypto บางรายกำลังกำหนดเป้าหมายผู้ใช้ด้วยกลอุบายใหม่ที่ช่วยให้พวกเขาสามารถยืนยันการทำธุรกรรมจากกระเป๋าเงินของเหยื่อได้ แต่โดยไม่ต้องมีรหัสส่วนตัวของเหยื่อ การโจมตีสามารถทำได้เฉพาะธุรกรรมที่มีมูลค่า 0 เท่านั้น อย่างไรก็ตาม อาจทำให้ผู้ใช้บางรายส่งโทเค็นไปยังผู้โจมตีโดยไม่ตั้งใจอันเป็นผลมาจากการตัดและวางจากประวัติธุรกรรมที่ถูกแย่งชิง
บริษัทรักษาความปลอดภัยบล็อคเชน SlowMist ค้นพบ เทคนิคใหม่ในเดือนธันวาคมและเปิดเผยในบล็อกโพสต์ ตั้งแต่นั้นมา ทั้ง SafePal และ Etherscan ได้นำเทคนิคการลดผลกระทบมาใช้เพื่อจำกัดผลกระทบต่อผู้ใช้ แต่ผู้ใช้บางคนอาจยังไม่ทราบว่ามีอยู่จริง
เมื่อเร็ว ๆ นี้ เราได้รับรายงานจากชุมชนเกี่ยวกับการหลอกลวงประเภทใหม่: Zero Transfer Scam โปรดใช้ความระมัดระวังหากคุณเห็นการโอนที่น่าสงสัยเป็น 0 ในบันทึกกระเป๋าเงินของคุณ:
1/10
— เวโรนิกา (@V_SafePal) December 14, 2022
ตามโพสต์จาก SlowMist การหลอกลวงทำงานโดยส่งธุรกรรมของโทเค็นศูนย์จากกระเป๋าเงินของเหยื่อไปยังที่อยู่ที่มีลักษณะคล้ายกับที่อยู่ซึ่งเหยื่อเคยส่งโทเค็นไปก่อนหน้านี้
ตัวอย่างเช่น หากเหยื่อส่ง 100 เหรียญไปยังที่อยู่สำหรับฝากแลกเปลี่ยน ผู้โจมตีอาจส่งเหรียญ XNUMX เหรียญจากกระเป๋าสตางค์ของเหยื่อไปยังที่อยู่ที่มีลักษณะคล้ายกัน แต่อันที่จริงแล้วอยู่ภายใต้การควบคุมของผู้โจมตี เหยื่ออาจเห็นธุรกรรมนี้ในประวัติการทำธุรกรรมและสรุปได้ว่าที่อยู่ที่แสดงนั้นเป็นที่อยู่เงินฝากที่ถูกต้อง เป็นผลให้พวกเขาอาจส่งเหรียญไปยังผู้โจมตีโดยตรง
ส่งธุรกรรมโดยไม่ได้รับอนุญาตจากเจ้าของ
ภายใต้สถานการณ์ปกติ ผู้โจมตีต้องการคีย์ส่วนตัวของเหยื่อเพื่อส่งธุรกรรมจากกระเป๋าเงินของเหยื่อ แต่ฟีเจอร์ "แท็บสัญญา" ของ Etherscan เผยให้เห็นว่ามีช่องโหว่ในสัญญาโทเค็นบางรายการที่อนุญาตให้ผู้โจมตีส่งธุรกรรมจากกระเป๋าเงินใดๆ ก็ได้
ตัวอย่างเช่น โค้ดสำหรับ USD Coin (USDC) บน Etherscan แสดงให้เห็นว่า ว่าฟังก์ชัน “โอนจาก” ช่วยให้บุคคลใดก็ตามสามารถย้ายเหรียญจากกระเป๋าเงินของบุคคลอื่นได้ตราบเท่าที่จำนวนเหรียญที่พวกเขาส่งนั้นน้อยกว่าหรือเท่ากับจำนวนที่อนุญาตโดยเจ้าของที่อยู่
ซึ่งมักจะหมายความว่าผู้โจมตีไม่สามารถทำธุรกรรมจากที่อยู่ของบุคคลอื่นได้ เว้นแต่เจ้าของจะอนุมัติค่าเผื่อสำหรับพวกเขา
อย่างไรก็ตาม มีช่องโหว่ในข้อจำกัดนี้ จำนวนเงินที่อนุญาตถูกกำหนดเป็นตัวเลข (เรียกว่า "ประเภท uint256") ซึ่งหมายความว่าจะถูกตีความเป็นศูนย์ เว้นแต่จะตั้งค่าเป็นตัวเลขอื่นโดยเฉพาะ สามารถดูได้ในฟังก์ชัน "ค่าเผื่อ"
ผลที่ตามมาคือ ตราบใดที่มูลค่าธุรกรรมของผู้โจมตีน้อยกว่าหรือเท่ากับศูนย์ พวกเขาก็สามารถส่งธุรกรรมจากกระเป๋าเงินใดก็ได้ที่ต้องการโดยไม่ต้องใช้คีย์ส่วนตัวหรือการอนุมัติล่วงหน้าจากเจ้าของ
USDC ไม่ใช่โทเค็นเดียวที่อนุญาตให้ทำได้ รหัสที่คล้ายกันสามารถพบได้ในสัญญาโทเค็นส่วนใหญ่ มันสามารถเป็นได้ พบ ในสัญญาตัวอย่างที่เชื่อมโยงจากเว็บไซต์อย่างเป็นทางการของ Ethereum Foundation
ตัวอย่างของการหลอกลวงโอนมูลค่าเป็นศูนย์
Etherscan แสดงให้เห็นว่าที่อยู่กระเป๋าเงินบางแห่งส่งธุรกรรมที่มีมูลค่าเป็นศูนย์หลายพันรายการต่อวันจากกระเป๋าเงินของเหยื่อหลายรายโดยไม่ได้รับความยินยอมจากพวกเขา
ตัวอย่างเช่น บัญชีชื่อ Fake_Phishing7974 ใช้สัญญาอัจฉริยะที่ไม่ได้รับการยืนยัน ดำเนินการ การทำธุรกรรมมากกว่า 80 ชุดในวันที่ 12 มกราคมโดยแต่ละชุด ที่มี ธุรกรรมมูลค่าศูนย์ 50 รายการสำหรับธุรกรรมที่ไม่ได้รับอนุญาตทั้งหมด 4,000 รายการในหนึ่งวัน
ที่อยู่ที่ทำให้เข้าใจผิด
การดูที่ธุรกรรมแต่ละรายการอย่างละเอียดมากขึ้นจะเผยให้เห็นถึงแรงจูงใจของสแปมนี้: ผู้โจมตีกำลังส่งธุรกรรมที่มีมูลค่าเป็นศูนย์ไปยังที่อยู่ที่มีลักษณะคล้ายกับที่เหยื่อเคยส่งเงินไปให้
ตัวอย่างเช่น Etherscan แสดงให้เห็นว่าหนึ่งในที่อยู่ของผู้ใช้ที่เป็นเป้าหมายของผู้โจมตีมีดังต่อไปนี้:
0x20d7f90d9c40901488a935870e1e80127de11d74.
เมื่อวันที่ 29 มกราคม บัญชีนี้อนุญาตให้ส่ง 5,000 Tether (USDT) ไปยังที่อยู่ผู้รับนี้:
0xa541efe60f274f813a834afd31e896348810bb09.
ทันทีหลังจากนั้น Fake_Phishing7974 ได้ส่งธุรกรรมมูลค่าศูนย์จากกระเป๋าเงินของเหยื่อไปยังที่อยู่นี้:
0xA545c8659B0CD5B426A027509E55220FDa10bB09.
อักขระห้าตัวแรกและอักขระหกตัวสุดท้ายของที่อยู่ที่รับทั้งสองนี้เหมือนกันทุกประการ แต่อักขระที่อยู่ตรงกลางนั้นแตกต่างกันโดยสิ้นเชิง ผู้โจมตีอาจตั้งใจให้ผู้ใช้ส่ง USDT ไปยังที่อยู่ที่สอง (ปลอม) นี้แทนที่อยู่จริง โดยให้เหรียญแก่ผู้โจมตี
ในกรณีเฉพาะนี้ ดูเหมือนว่ากลโกงไม่ได้ผล เนื่องจาก Etherscan ไม่แสดงธุรกรรมใดๆ จากที่อยู่นี้ไปยังหนึ่งในที่อยู่ปลอมที่สร้างขึ้นโดยนักต้มตุ๋น แต่เนื่องจากบัญชีนี้มีปริมาณธุรกรรมที่มีมูลค่าเป็นศูนย์ แผนอาจใช้ได้ผลในกรณีอื่นๆ
กระเป๋าเงินและตัวสำรวจบล็อกอาจแตกต่างกันอย่างมากว่าจะแสดงธุรกรรมที่ทำให้เข้าใจผิดอย่างไรหรืออย่างไร
กระเป๋าสตางค์
กระเป๋าเงินบางใบอาจไม่แสดงธุรกรรมสแปมเลย ตัวอย่างเช่น MetaMask จะไม่แสดงประวัติการทำธุรกรรมหากมีการติดตั้งใหม่ แม้ว่าตัวบัญชีจะมีธุรกรรมหลายร้อยรายการบนบล็อกเชนก็ตาม นี่หมายความว่ามันเก็บประวัติการทำธุรกรรมของตัวเองแทนที่จะดึงข้อมูลจากบล็อกเชน สิ่งนี้ควรป้องกันไม่ให้ธุรกรรมสแปมปรากฏในประวัติการทำธุรกรรมของกระเป๋าเงิน
ในทางกลับกัน หากกระเป๋าเงินดึงข้อมูลโดยตรงจากบล็อกเชน ธุรกรรมสแปมอาจปรากฏขึ้นในการแสดงผลของกระเป๋าเงิน ในการประกาศเมื่อวันที่ 13 ธันวาคมบน Twitter ซีอีโอของ SafePal Veronica Wong เตือน ผู้ใช้ SafePal ที่กระเป๋าเงินของมันอาจแสดงธุรกรรม เพื่อลดความเสี่ยงนี้ เธอกล่าวว่า SafePal กำลังเปลี่ยนแปลงวิธีการแสดงที่อยู่ในกระเป๋าเงินเวอร์ชันใหม่ เพื่อให้ผู้ใช้ตรวจสอบที่อยู่ได้ง่ายขึ้น
(6/10) ด้วยเหตุนี้ เราได้ดำเนินการ:
1) ในการอัปเดต V3.7.3 ล่าสุด เราได้ปรับความยาวของที่อยู่กระเป๋าเงินที่แสดงในประวัติการทำธุรกรรม 10 หลักแรกและสุดท้ายของที่อยู่กระเป๋าเงินจะแสดงเป็นค่าเริ่มต้น เพื่อประโยชน์ในการตรวจสอบที่อยู่— เวโรนิกา (@V_SafePal) December 14, 2022
ในเดือนธันวาคม ผู้ใช้รายหนึ่งรายงานว่ากระเป๋าเงิน Trezor ของพวกเขาคือ แสดง ธุรกรรมที่ทำให้เข้าใจผิด
Cointelegraph ติดต่อทางอีเมลถึงผู้พัฒนา Trezor SatoshiLabs เพื่อแสดงความคิดเห็น ในการตอบสนอง ตัวแทนระบุว่ากระเป๋าเงินจะดึงประวัติการทำธุรกรรมโดยตรงจากบล็อกเชน “ทุกครั้งที่ผู้ใช้เสียบกระเป๋าเงิน Trezor”
อย่างไรก็ตาม ทีมงานกำลังดำเนินการเพื่อปกป้องผู้ใช้จากการหลอกลวง ในการอัปเดต Trezor Suite ที่กำลังจะมีขึ้น ซอฟต์แวร์จะ "ตั้งค่าสถานะธุรกรรมมูลค่าศูนย์ที่น่าสงสัย เพื่อให้ผู้ใช้ได้รับการแจ้งเตือนว่าธุรกรรมดังกล่าวอาจเป็นการฉ้อโกง" บริษัทยังระบุด้วยว่ากระเป๋าเงินจะแสดงที่อยู่แบบเต็มของทุกธุรกรรมเสมอ และพวกเขา “แนะนำอย่างยิ่งให้ผู้ใช้ตรวจสอบที่อยู่แบบเต็มเสมอ ไม่ใช่แค่อักขระตัวแรกและตัวสุดท้าย”
บล็อกนักสำรวจ
นอกเหนือจากกระเป๋าเงินแล้ว block explorer ยังเป็นซอฟต์แวร์อีกประเภทหนึ่งที่สามารถใช้ดูประวัติการทำธุรกรรมได้ นักสำรวจบางคนอาจแสดงธุรกรรมเหล่านี้ในลักษณะที่ทำให้ผู้ใช้เข้าใจผิดโดยไม่ตั้งใจ เช่นเดียวกับกระเป๋าเงินบางประเภท
เพื่อลดภัยคุกคามนี้ Etherscan ได้เริ่มทำให้ธุรกรรมโทเค็นมูลค่าศูนย์เป็นสีเทาซึ่งไม่ได้เริ่มต้นโดยผู้ใช้ นอกจากนี้ยังตั้งค่าสถานะธุรกรรมเหล่านี้ด้วยการแจ้งเตือนที่ระบุว่า “นี่คือการถ่ายโอนโทเค็นมูลค่าศูนย์ที่เริ่มต้นโดยที่อยู่อื่น” ตามภาพด้านล่าง
เครื่องมือสำรวจบล็อกอื่นๆ อาจใช้ขั้นตอนเดียวกับ Etherscan เพื่อเตือนผู้ใช้เกี่ยวกับธุรกรรมเหล่านี้ แต่บางคนอาจยังไม่ได้ใช้ขั้นตอนเหล่านี้
เคล็ดลับสำหรับการหลีกเลี่ยงเคล็ดลับ 'โอนจากค่าศูนย์'
Cointelegraph ติดต่อไปยัง SlowMist เพื่อขอคำแนะนำเกี่ยวกับวิธีการหลีกเลี่ยงการตกเป็นเหยื่อของกลอุบาย “โอนจากมูลค่าเป็นศูนย์”
ตัวแทนจากบริษัทได้ให้คำแนะนำแก่ Cointelegraph ในการหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตี:
- “ใช้ความระมัดระวังและตรวจสอบที่อยู่ก่อนทำธุรกรรมใดๆ”
- “ใช้คุณสมบัติรายการที่อนุญาตพิเศษในกระเป๋าเงินของคุณเพื่อป้องกันการส่งเงินไปยังที่อยู่ผิด”
- “จงเฝ้าระวังและรับทราบข้อมูล หากคุณพบการถ่ายโอนที่น่าสงสัย ให้ใช้เวลาในการตรวจสอบเรื่องนี้อย่างใจเย็นเพื่อหลีกเลี่ยงการตกเป็นเหยื่อของนักต้มตุ๋น”
- “รักษาระดับความระแวงสงสัย ระวังตัวและระแวดระวังอยู่เสมอ”
เมื่อพิจารณาจากคำแนะนำนี้ สิ่งที่สำคัญที่สุดสำหรับผู้ใช้ crypto ที่ต้องจำไว้คือการตรวจสอบที่อยู่ก่อนที่จะส่ง crypto ไปให้เสมอ แม้ว่าบันทึกการทำธุรกรรมจะบ่งบอกเป็นนัยว่าคุณได้ส่ง crypto ไปยังที่อยู่ก่อนหน้านี้แล้ว การปรากฏตัวนี้อาจหลอกลวงได้
ที่มา: https://cointelegraph.com/news/scammers-are-targeting-crypto-users-with-new-zero-value-transferfrom-trick