Kriptovaliutų piniginių adresų kopijavimas nebėra 100 % saugus
Pasak MetaMask, plinta naujas sukčiavimo būdas, nukreiptas į neatsargius copy-paste įkėlėjus. Vakar MetaMask komanda ėmėsi veiksmų, kad įspėtų nieko neįtariančius naudotojus apie vis dažniau pasitaikantį sukčiavimo būdą, vadinamą adresų nuodijimu.
Sukčiai išgauna pirmąsias ir paskutiniąsias keturių raidžių ir skaičių kombinacijas iš piniginės adreso ir naudoja jas suklastotam naujam adresui sukurti. Tuomet iš naujai sukurto netikro adreso išsiunčiama 0 JAV dolerių vertės operacija, pakeičianti jūsų operacijų istorijoje išsaugotą atitinkamą adresą. Adresų nuodijimas nukreiptas į kriptovaliutų naudotojus, kurie aklai kopijuoja ir įklijuoja adresus į savo sandorių istoriją be taip reikalingo papildomo patikrinimo.
Tačiau saugumo atnaujinimą su nepasitenkinimu sutiko dalis kriptovaliutų bendruomenės, kuri mano, kad didžiausias pasaulyje kriptovaliutų piniginių teikėjas galbūt veikė per lėtai, kad apie tai praneštų visuomenei. Twitter naudotojas Tuzun (0xTuzun), dar 2022 m. gruodžio 2 d. paskelbęs viešą įspėjimą apie incidentą, pateikė daugiau įžvalgų apie atakos pobūdį ir paveiktų piniginių mastą.
Pasak Tuzun, nuo 2022 m. gruodžio mėn. buvo užkrėsta daugiau nei 340 000 adresų, išviliojant iš nieko neįtariančių 95 piniginių apie 1,6 mln. dolerių. Analizės duomenimis, bendra atakų kaina yra kiek daugiau nei 25 000 JAV dolerių, o tai reiškia, kad pelno marža viršija 6 000 %.
Remiantis Tuzun išvadomis, išnaudojimas BSC ir ETH adresais datuojamas atitinkamai 2022 m. lapkričio 22 ir 27 d., o įvairūs užpuolikai yra iš Azijos laiko juostos regionų.
Tuzun pasinaudojo grandinės stebėsenos platforma Xplore ir susekė kai kuriuos įtariamus kaltininkus, be to, rekomendavo MetaMask atnaujinti savo vartotojo sąsajos funkcijas, kad naudotojai galėtų identifikuoti piniginių adresus sandorių istorijoje pagal spalvinius žymeklius. Vartotojams taip pat buvo patarta prieš pervedant lėšas dar kartą patikrinti piniginių adresų raidinę-skaitmeninę sudėtį ne tik pirmuosius keturis skaitmenis.
Sukčiavimas su užnuodytais adresais papildo vis didėjančių sukčiavimo atvejų kriptovaliutų pramonėje sąrašą, dėl kurių praėjusiais metais bendrai patirta daugiau kaip 3,5 mlrd. dolerių nuostolių.
Praėjusių metų gegužę MetaMask pasirašė partnerystės sutartį su Asset Reality – Saas kriptovaliutų turto susigrąžinimo priemone, kurios tikslas – padėti kriptovaliutų sukčių aukoms susigrąžinti pavogtą turtą. Praėjus aštuoniems mėnesiams neaišku, kokią pažangą turto susigrąžinimo srityje padarė abi bendrovės. MetaMask dar neatsakė nukentėjusiems naudotojams ir nepateikė jokių įgyvendinamų kompensacijų planų už patirtus nuostolius.
