Mae data gan Etherscan yn dangos bod rhai sgamwyr crypto yn targedu defnyddwyr gyda tric newydd sy'n eu galluogi i gadarnhau trafodiad o waled y dioddefwr, ond heb gael allwedd breifat y dioddefwr. Dim ond ar gyfer trafodion gwerth 0 y gellir cyflawni'r ymosodiad. Fodd bynnag, gall achosi i rai defnyddwyr anfon tocynnau at yr ymosodwr yn ddamweiniol o ganlyniad i dorri a gludo o hanes trafodion a herwgipiwyd.
Cwmni diogelwch Blockchain SlowMist darganfod y dechneg newydd ym mis Rhagfyr a'i datgelu mewn post blog. Ers hynny, mae SafePal ac Etherscan wedi mabwysiadu technegau lliniaru i gyfyngu ar ei effaith ar ddefnyddwyr, ond efallai na fydd rhai defnyddwyr yn ymwybodol o'i fodolaeth o hyd.
Yn ddiweddar rydym wedi derbyn adroddiadau gan y gymuned am fath newydd o sgam: Zero Transfer Scam. Byddwch yn ofalus os gwelwch drosglwyddiad 0 amheus yn eich cofnod waled:
1/10
— Veronica (@V_SafePal) Rhagfyr 14, 2022
Yn ôl y post gan SlowMist, mae'r sgam yn gweithio trwy anfon trafodiad o ddim tocynnau o waled y dioddefwr i gyfeiriad sy'n edrych yn debyg i un yr oedd y dioddefwr wedi anfon tocynnau ato yn flaenorol.
Er enghraifft, pe bai'r dioddefwr yn anfon darnau arian 100 i gyfeiriad blaendal cyfnewid, gall yr ymosodwr anfon darnau arian sero o waled y dioddefwr i gyfeiriad sy'n edrych yn debyg ond sydd, mewn gwirionedd, o dan reolaeth yr ymosodwr. Efallai y bydd y dioddefwr yn gweld y trafodiad hwn yn ei hanes trafodion ac yn dod i'r casgliad mai'r cyfeiriad a ddangosir yw'r cyfeiriad adneuo cywir. O ganlyniad, gallant anfon eu darnau arian yn uniongyrchol at yr ymosodwr.
Anfon trafodiad heb ganiatâd perchennog
O dan amgylchiadau arferol, mae ymosodwr angen allwedd breifat y dioddefwr i anfon trafodiad o waled y dioddefwr. Ond mae nodwedd “tab contract” Etherscan yn datgelu bod bwlch mewn rhai contractau tocyn a all ganiatáu i ymosodwr anfon trafodiad o unrhyw waled o gwbl.
Er enghraifft, y cod ar gyfer USD Coin (USDC) ar Etherscan yn dangos bod y swyddogaeth “TransferFrom” yn caniatáu i unrhyw berson symud darnau arian o waled person arall cyn belled â bod swm y darnau arian y maent yn eu hanfon yn llai na neu'n hafal i'r swm a ganiateir gan berchennog y cyfeiriad.
Mae hyn fel arfer yn golygu na all ymosodwr wneud trafodiad o gyfeiriad person arall oni bai bod y perchennog yn cymeradwyo lwfans ar ei gyfer.
Fodd bynnag, mae bwlch yn y cyfyngiad hwn. Diffinnir y swm a ganiateir fel rhif (a elwir yn “math uint256”), sy’n golygu ei fod yn cael ei ddehongli fel sero oni bai ei fod wedi’i osod yn benodol i ryw rif arall. Gellir gweld hyn yn y swyddogaeth “lwfans”.
O ganlyniad, cyn belled â bod gwerth trafodiad yr ymosodwr yn llai na neu'n hafal i sero, gallant anfon trafodiad o unrhyw waled y maent ei eisiau, heb fod angen yr allwedd breifat na chymeradwyaeth ymlaen llaw gan y perchennog.
Nid USDC yw'r unig docyn sy'n caniatáu i hyn gael ei wneud. Gellir dod o hyd i god tebyg yn y rhan fwyaf o gontractau tocyn. Gall hyd yn oed fod dod o hyd yn y contractau enghreifftiol sy'n gysylltiedig o wefan swyddogol Sefydliad Ethereum.
Enghreifftiau o'r sgam trosglwyddo gwerth sero
Mae Etherscan yn dangos bod rhai cyfeiriadau waled yn anfon miloedd o drafodion gwerth sero y dydd o waledi dioddefwyr amrywiol heb eu caniatâd.
Er enghraifft, defnyddiodd cyfrif wedi'i labelu Fake_Phishing7974 gontract clyfar heb ei wirio i perfformio mwy nag 80 o fwndeli o drafodion ar Ionawr 12, gyda phob bwndel cynnwys 50 o drafodion gwerth sero am gyfanswm o 4,000 o drafodion anawdurdodedig mewn un diwrnod.
Anerchiadau camarweiniol
Mae edrych ar bob trafodiad yn agosach yn datgelu cymhelliad ar gyfer y sbam hwn: Mae'r ymosodwr yn anfon trafodion gwerth sero i gyfeiriadau sy'n edrych yn debyg iawn i'r rhai yr anfonodd y dioddefwyr arian atynt yn flaenorol.
Er enghraifft, mae Etherscan yn dangos mai un o'r cyfeiriadau defnyddiwr a dargedwyd gan yr ymosodwr yw'r canlynol:
0x20d7f90d9c40901488a935870e1e80127de11d74.
Ar Ionawr 29, awdurdododd y cyfrif hwn anfon 5,000 Tether (USDT) i'r cyfeiriad derbyn hwn:
0xa541efe60f274f813a834afd31e896348810bb09.
Yn syth wedyn, anfonodd Fake_Phishing7974 drafodyn gwerth sero o waled y dioddefwr i'r cyfeiriad hwn:
0xA545c8659B0CD5B426A027509E55220FDa10bB09.
Mae'r pum cymeriad cyntaf a chwe chymeriad olaf y ddau gyfeiriad derbyn hyn yn union yr un fath, ond mae'r cymeriadau yn y canol i gyd yn hollol wahanol. Efallai bod yr ymosodwr wedi bwriadu i'r defnyddiwr anfon USDT i'r ail gyfeiriad (ffug) hwn yn lle'r un go iawn, gan roi eu darnau arian i'r ymosodwr.
Yn yr achos penodol hwn, mae'n ymddangos nad oedd y sgam yn gweithio, gan nad yw Etherscan yn dangos unrhyw drafodion o'r cyfeiriad hwn i un o'r cyfeiriadau ffug a grëwyd gan y sgamiwr. Ond o ystyried nifer y trafodion gwerth sero a wneir gan y cyfrif hwn, efallai bod y cynllun wedi gweithio mewn achosion eraill.
Gall waledi a fforwyr bloc amrywio'n sylweddol o ran sut neu a ydynt yn dangos trafodion camarweiniol.
Waledi
Efallai na fydd rhai waledi yn dangos y trafodion sbam o gwbl. Er enghraifft, nid yw MetaMask yn dangos unrhyw hanes trafodion os caiff ei ailosod, hyd yn oed os oes gan y cyfrif ei hun gannoedd o drafodion ar y blockchain. Mae hyn yn awgrymu ei fod yn storio ei hanes trafodion ei hun yn hytrach na thynnu'r data o'r blockchain. Dylai hyn atal y trafodion sbam rhag ymddangos yn hanes trafodion y waled.
Ar y llaw arall, os yw'r waled yn tynnu data yn uniongyrchol o'r blockchain, efallai y bydd y trafodion sbam yn ymddangos yn arddangosfa'r waled. Mewn cyhoeddiad ar 13 Rhagfyr ar Twitter, dywedodd Prif Swyddog Gweithredol SafePal, Veronica Wong Rhybuddiodd Defnyddwyr SafePal y gall ei waled arddangos y trafodion. Er mwyn lliniaru'r risg hon, dywedodd fod SafePal yn newid y ffordd y mae cyfeiriadau'n cael eu harddangos mewn fersiynau mwy diweddar o'i waled er mwyn ei gwneud yn haws i ddefnyddwyr archwilio cyfeiriadau.
(6/10) Yn dilyn hyn, rydym wedi cymryd camau gweithredu:
1) Yn y diweddariad V3.7.3 diweddaraf, fe wnaethom addasu hyd y cyfeiriad waled a arddangosir yn hanes y trafodion. Bydd digid cyntaf a 10 digid olaf y cyfeiriad waled yn cael eu harddangos yn ddiofyn, er mwyn archwilio cyfeiriad— Veronica (@V_SafePal) Rhagfyr 14, 2022
Ym mis Rhagfyr, dywedodd un defnyddiwr hefyd fod eu waled Trezor arddangos trafodion camarweiniol.
Estynnodd Cointelegraph allan trwy e-bost at ddatblygwr Trezor, SatoshiLabs i gael sylwadau. Mewn ymateb, dywedodd cynrychiolydd fod y waled yn tynnu ei hanes trafodion yn uniongyrchol o'r blockchain “bob tro mae defnyddwyr yn plygio eu waled Trezor i mewn.”
Fodd bynnag, mae'r tîm yn cymryd camau i amddiffyn defnyddwyr rhag y sgam. Mewn diweddariad gan Trezor Suite sydd ar ddod, bydd y feddalwedd yn “fflagio’r trafodion gwerth sero amheus fel bod defnyddwyr yn cael eu hysbysu y gallai trafodion o’r fath fod yn dwyllodrus.” Dywedodd y cwmni hefyd fod y waled bob amser yn dangos cyfeiriad llawn pob trafodiad a'u bod yn "argymell yn gryf bod defnyddwyr bob amser yn gwirio'r cyfeiriad llawn, nid dim ond y nodau cyntaf ac olaf."
Archwilwyr bloc
Ar wahân i waledi, mae fforwyr bloc yn fath arall o feddalwedd y gellir ei ddefnyddio i weld hanes trafodion. Efallai y bydd rhai archwilwyr yn arddangos y trafodion hyn yn y fath fodd ag i gamarwain defnyddwyr yn anfwriadol, yn union fel y mae rhai waledi yn ei wneud.
I liniaru yn erbyn y bygythiad hwn, mae Etherscan wedi dechrau llwydo allan trafodion tocyn gwerth sero nad ydynt yn cael eu cychwyn gan y defnyddiwr. Mae hefyd yn tynnu sylw at y trafodion hyn gyda rhybudd sy'n dweud, “Mae hwn yn drosglwyddiad tocyn gwerth sero wedi'i gychwyn gan gyfeiriad arall,” fel y dangosir yn y ddelwedd isod.
Efallai y bydd fforwyr bloc eraill wedi cymryd yr un camau ag Etherscan i rybuddio defnyddwyr am y trafodion hyn, ond efallai na fydd rhai wedi gweithredu'r camau hyn eto.
Awgrymiadau ar gyfer osgoi'r tric 'Sero-value TransferFrom'
Estynnodd Cointelegraph at SlowMist i gael cyngor ar sut i osgoi cwympo’n ysglyfaeth i’r tric “Sero-value TransferFrom”.
Rhoddodd cynrychiolydd o'r cwmni restr o awgrymiadau i Cointelegraph ar gyfer osgoi dioddef yr ymosodiad:
- “Byddwch yn ofalus a gwiriwch y cyfeiriad cyn cyflawni unrhyw drafodion.”
- “Defnyddiwch y nodwedd rhestr wen yn eich waled i atal anfon arian i'r cyfeiriadau anghywir.”
- “Arhoswch yn wyliadwrus ac yn wybodus. Os byddwch yn dod ar draws unrhyw drosglwyddiadau amheus, cymerwch amser i ymchwilio i’r mater yn ddigynnwrf er mwyn osgoi dioddef o sgamwyr.”
- “Cynhaliwch lefel iach o amheuaeth, a byddwch yn ofalus ac yn wyliadwrus bob amser.”
A barnu o'r cyngor hwn, y peth pwysicaf i ddefnyddwyr crypto ei gofio yw gwirio'r cyfeiriad bob amser cyn anfon crypto ato. Hyd yn oed os yw'n ymddangos bod y cofnod trafodiad yn awgrymu eich bod wedi anfon crypto i'r cyfeiriad o'r blaen, gall yr ymddangosiad hwn fod yn dwyllodrus.
Ffynhonnell: https://cointelegraph.com/news/scammers-are-targeting-crypto-users-with-new-zero-value-transferfrom-trick