این ترفند به مهاجم اجازه می‌دهد تا تراکنش‌های با ارزش صفر را از کیف پول قربانی تأیید کند و تاریخچه تراکنش‌های کاربر را ربوده است.

کلاهبرداران با ترفند جدید


داده های Etherscan نشان می دهد که برخی از کلاهبرداران ارز دیجیتال با ترفند جدیدی کاربران را هدف قرار می دهند که به آنها اجازه می دهد تراکنش را از کیف پول قربانی تأیید کنند، اما بدون داشتن مهم خصوصی قربانی. این حمله فقط برای تراکنش هایی با ارزش 0 قابل انجام است. با این حال، ممکن است باعث شود برخی از کاربران در نتیجه برش و چسباندن تاریخچه تراکنش ربوده شده، به طور تصادفی توکن هایی را برای مهاجم ارسال کنند.

شرکت امنیتی بلاک چین SlowMist کشف شده تکنیک جدید در ماه دسامبر و آن را در یک پست وبلاگ نشان داد. از آن زمان، هم SafePal و هم Etherscan تکنیک‌های کاهشی را برای محدود کردن تأثیر آن بر روی کاربران اتخاذ کرده‌اند، اما برخی از کاربران ممکن است هنوز از وجود آن بی‌اطلاع باشند.

طبق پست SlowMist، این کلاهبرداری با ارسال یک تراکنش صفر توکن از کیف پول قربانی به آدرسی شبیه آدرسی که قربانی قبلا توکن‌ها را به آن ارسال کرده بود، کار می‌کند.

به عنوان مثال، اگر قربانی 100 سکه به یک آدرس سپرده صرافی ارسال کرده باشد، مهاجم ممکن است صفر سکه را از کیف پول قربانی به آدرسی بفرستد که به نظر شبیه است اما در واقع تحت کنترل مهاجم است. قربانی ممکن است این تراکنش را در تاریخچه تراکنش خود ببیند و به این نتیجه برسد که آدرس نشان داده شده آدرس سپرده صحیح است. در نتیجه، آنها ممکن است سکه های خود را مستقیماً برای مهاجم ارسال کنند.

ارسال تراکنش بدون اجازه مالک

در شرایط عادی، یک مهاجم برای ارسال تراکنش از کیف پول قربانی به مهم خصوصی قربانی نیاز دارد. اما ویژگی “زبانه قرارداد” Etherscan نشان می دهد که در برخی از قراردادهای توکن حفره ای وجود دارد که می تواند به مهاجم اجازه دهد تراکنش را از هر کیف پولی ارسال کند.

به عنوان مثال، کد USD Coin (USDC) در Etherscan نشان می دهد که عملکرد “TransferFrom” به هر شخصی اجازه می دهد تا زمانی که مقدار سکه هایی که ارسال می کند کمتر یا برابر با مقدار مجاز صاحب آدرس باشد، سکه ها را از کیف پول شخص دیگری جابجا کند.

این معمولاً به این معنی است که یک مهاجم نمی‌تواند از آدرس شخص دیگری تراکنش انجام دهد، مگر اینکه مالک مبلغی را برای آنها تأیید کند.

با این حال، یک خلاء در این محدودیت وجود دارد. مقدار مجاز به عنوان یک عدد (به نام “نوع uint256”) تعریف می شود، به این معنی که به عنوان صفر تفسیر می شود مگر اینکه به طور خاص روی عدد دیگری تنظیم شده باشد. این را می توان در تابع “Allowance” مشاهده کرد.

در نتیجه، تا زمانی که ارزش تراکنش مهاجم کمتر یا مساوی صفر باشد، آنها می توانند بدون نیاز به مهم خصوصی یا تأیید قبلی مالک، تراکنش را از هر کیف پولی که می خواهند ارسال کنند.

USDC تنها توکنی نیست که امکان انجام این کار را می دهد. کد مشابهی را می توان در اکثر قراردادهای توکن یافت. حتی می تواند باشد یافت در نمونه قراردادهای لینک شده از وب سایت رسمی بنیاد اتریوم.

نمونه هایی از کلاهبرداری انتقال ارزش صفر

Etherscan نشان می دهد که برخی از آدرس های کیف پول روزانه هزاران تراکنش با ارزش صفر را از کیف پول قربانیان مختلف بدون رضایت آنها ارسال می کنند.

برای مثال، حسابی با عنوان Fake_Phishing7974 از یک قرارداد هوشمند تأیید نشده استفاده می‌کند انجام دادن بیش از 80 بسته تراکنش در 12 ژانویه، با هر بسته حاوی 50 تراکنش با ارزش صفر برای مجموع 4000 تراکنش غیرمجاز در یک روز.

آدرس های گمراه کننده

با نگاه دقیق‌تر به هر تراکنش، انگیزه‌ای برای این هرزنامه آشکار می‌شود: مهاجم تراکنش‌های با ارزش صفر را به آدرس‌هایی ارسال می‌کند که بسیار شبیه به آدرس‌هایی هستند که قربانیان قبلاً وجوهی را به آن‌ها ارسال کرده‌اند.

به عنوان مثال، Etherscan نشان می دهد که یکی از آدرس های کاربری که توسط مهاجم هدف قرار گرفته است، به شرح زیر است:

0x20d7f90d9c40901488a935870e1e80127de11d74.

در 29 ژانویه، این حساب مجوز 5000 Tether (USDT) را برای ارسال به این آدرس دریافت کرد:

0xa541efe60f274f813a834afd31e896348810bb09.

بلافاصله پس از آن، Fake_Phishing7974 یک تراکنش با ارزش صفر از کیف پول قربانی به این آدرس ارسال کرد:

0xA545c8659B0CD5B426A027509E55220FDa10bB09.

پنج کاراکتر اول و شش کاراکتر آخر این دو آدرس دریافت کننده دقیقاً یکسان هستند، اما کاراکترهای وسط همه کاملاً متفاوت هستند. مهاجم ممکن است قصد داشته باشد که کاربر به جای آدرس واقعی USDT را به این آدرس دوم (جعلی) ارسال کند و سکه های خود را به مهاجم بدهد.

در این مورد خاص، به نظر می رسد که کلاهبرداری کار نکرده است، زیرا Etherscan هیچ تراکنشی را از این آدرس به یکی از آدرس های جعلی ایجاد شده توسط کلاهبردار نشان نمی دهد. اما با توجه به حجم معاملات با ارزش صفر انجام شده توسط این حساب، ممکن است این طرح در موارد دیگر جواب داده باشد.

کیف پول‌ها و کاوشگرهای بلوک ممکن است به طور قابل توجهی از نظر نحوه یا اینکه آیا تراکنش‌های گمراه‌کننده را نشان می‌دهند متفاوت باشند.

کیف پول

ممکن است برخی از کیف پول ها اصلاً تراکنش های هرزنامه را نشان ندهند. به عنوان مثال، MetaMask در صورت نصب مجدد، سابقه تراکنش را نشان نمی دهد، حتی اگر خود حساب دارای صدها تراکنش در بلاک چین باشد. این بدان معناست که تاریخچه تراکنش های خود را به جای بیرون کشیدن داده ها از بلاک چین ذخیره می کند. این باید از نمایش تراکنش های هرزنامه در تاریخچه تراکنش کیف پول جلوگیری کند.

از سوی دیگر، اگر کیف پول داده ها را مستقیماً از زنجیره بلوکی بیرون بکشد، تراکنش های هرزنامه ممکن است در صفحه نمایش کیف نشان داده شوند. در اطلاعیه 13 دسامبر در توییتر، ورونیکا ونگ، مدیر عامل SafePal هشدار داد کاربران SafePal که کیف پول آن ممکن است تراکنش ها را نمایش دهد. به منظور کاهش این خطر، او گفت که SafePal در حال تغییر نحوه نمایش آدرس‌ها در نسخه‌های جدیدتر کیف پول خود است تا بازرسی آدرس‌ها را برای کاربران آسان‌تر کند.

در ماه دسامبر، یکی از کاربران نیز گزارش داد که کیف پول Trezor آنها بوده است نمایش دادن معاملات گمراه کننده

Cointelegraph از طریق ایمیل با SatoshiLabs توسعه دهنده Trezor تماس گرفت تا نظر بدهد. در پاسخ، یکی از نمایندگان اظهار داشت که این کیف پول تاریخچه تراکنش خود را مستقیماً از زنجیره بلوکی استخراج می کند «هر بار که کاربران کیف پول Trezor خود را وصل می کنند».

با این حال، این تیم اقداماتی را برای محافظت از کاربران در برابر کلاهبرداری انجام می دهد. در به‌روزرسانی آتی Trezor Suite، این نرم‌افزار تراکنش‌های مشکوک با ارزش صفر را علامت‌گذاری می‌کند تا به کاربران هشدار داده شود که چنین تراکنش‌هایی بالقوه تقلبی هستند. این شرکت همچنین اعلام کرد که کیف پول همیشه آدرس کامل هر تراکنش را نشان می‌دهد و آنها «اکیداً توصیه می‌کنند که کاربران همیشه آدرس کامل را بررسی کنند، نه فقط اولین و آخرین کاراکترها».

کاوشگران را مسدود کنید

به غیر از کیف پول، بلاک کاوشگرها نوع دیگری از نرم افزارهایی هستند که می توانند برای مشاهده تاریخچه تراکنش ها استفاده شوند. برخی از کاوشگرها ممکن است این تراکنش ها را به گونه ای نمایش دهند که کاربران را ناخواسته گمراه کنند، درست مانند برخی کیف پول ها.

برای کاهش این تهدید، Etherscan شروع به خاکستری کردن تراکنش‌های توکن با ارزش صفر کرده است که توسط کاربر آغاز نشده‌اند. همچنین این تراکنش‌ها را با یک هشدار نشان می‌دهد که می‌گوید: «این یک انتقال رمز با ارزش صفر است که توسط آدرس دیگری آغاز شده است»، همانطور که در تصویر زیر مشهود است.

سایر کاوشگرهای بلاک ممکن است اقدامات مشابه Etherscan را برای هشدار دادن به کاربران در مورد این تراکنش ها انجام داده باشند، اما ممکن است برخی هنوز این مراحل را اجرا نکرده باشند.

نکاتی برای اجتناب از ترفند “TransferFrom با ارزش صفر”.

کوین تلگراف با SlowMist تماس گرفت تا در مورد نحوه جلوگیری از قربانی شدن در ترفند “TransferFrom با ارزش صفر” به شما راهنمایی کند.

یکی از نمایندگان این شرکت لیستی از نکات را برای جلوگیری از قربانی شدن در حمله به کوین تلگراف ارائه کرد:

  1. “قبل از انجام هر تراکنش احتیاط کنید و آدرس را بررسی کنید.”
  2. از ویژگی لیست سفید در کیف پول خود برای جلوگیری از ارسال وجوه به آدرس های اشتباه استفاده کنید.
  3. “هوشیار و مطلع باشید. اگر با هرگونه نقل و انتقالات مشکوک مواجه شدید، برای اینکه قربانی کلاهبرداران نشوید، با آرامش موضوع را بررسی کنید.”
  4. سطح سالمی از شک و تردید را حفظ کنید، همیشه محتاط و هوشیار باشید.

با قضاوت از این توصیه، مهمترین چیزی که برای کاربران کریپتو باید به خاطر بسپارند این است که همیشه آدرس را قبل از ارسال رمز به آن چک کنند. حتی اگر به نظر می رسد سابقه تراکنش نشان می دهد که قبلاً ارز دیجیتال را به آدرس ارسال کرده اید، این ظاهر ممکن است فریبنده باشد.

این مطلب صرفاً از منبع ، ترجمه شده و مسئولیت آن با تریگر ویو نمی باشد.
کتاب های بازار مالی

لینک منبع خبر