Zaufane platformy takie jak Uniswap i Safe.global, które przeprowadziły 69 milionów transakcji, wdrożyły 9,5 miliona kont i przechowują aktywa o wartości 100 miliardów dolarów, są podatne na ataki, w których oszukańcze transakcje są osadzone w funkcji multicall aggregate, co utrudnia ich wykrycie – ostrzega Check Point Research.
Analitycy bezpieczeństwa cybernetycznego z Check Point Research (CPR) zidentyfikowali nowy scam na platformach Uniswap i Safe.global. Techniki mogą wykorzystać legalne funkcje blockchain, narażając na ryzyko niezliczonych użytkowników. Odkryty w kontrakcie Uniswap V3 i smart kontrakcie Safe.global, scam pozwala atakującym na przeprowadzenie transferów funduszy z portfeli ofiar do własnych.
Hakerzy wykorzystują techniki inżynierii społecznej, wysyłając fałszywe e-maile i wiadomości od zaufanych źródeł, aby skłonić użytkowników do zatwierdzania transakcji i zwiększania uprawnień tokenów, co daje dostęp do ich aktywów. Wykorzystując funkcję multicall aggregate, atakujący osadzają wiele oszukańczych transakcji w jednym wywołaniu, co sprawia, że trudno jest wykryć nieuczciwe działania.
Wzrost popularności i… ryzyka
Z ponad 1,8 biliona dolarów w wolumenie handlowym, 350 milionami swapów i ponad 4 miliardami dolarów w total value locked (TVL), Uniswap Protocol jest największą i najpopularniejszą zdecentralizowaną giełdą do wymiany tokenów kryptowalut na Ethereum i innych popularnych blockchainach.
– Nowa podatność podkreśla rosnącą wyrafinowanie cyberprzestępców celujących w przestrzeń kryptowalut, ukazując nie tylko potrzebę czujności użytkowników, ale także pilną konieczność zaawansowanych środków bezpieczeństwa i ciągłej edukacji. W miarę jak platformy zdecentralizowanych finansów rosną, atakujący wykorzystują każdą możliwą słabość, prowadząc do potencjalnie druzgocących konsekwencji finansowych i osobistych dla użytkowników – mówi Oded Vanunu, Chief Technologist & Head of Products Vulnerability Research w Check Point Software.
Transakcje blockchain są nieodwracalne. W blockchainie, w przeciwieństwie do banku, nie można zablokować skradzionej karty ani zakwestionować transakcji. Wg specjalistów, by chronić swoje cyfrowe aktywa należy:
- Weryfikować legalność kontraktów i ich funkcji przed zatwierdzeniem jakichkolwiek transakcji.
- Dokonywać działań bezpośrednio ze stron oficjalnych projektów, aby zapewnić ich autentyczność.
- Zachować ostrożność wobec e-maili i linków w mediach społecznościowych, ponieważ mogą być wektorami oszustw.
- Regularnie monitorować swój portfel i historię transakcji pod kątem wszelkiej nietypowej aktywności.