
A "zéró összegű utalás" a csalók legújabb trükkje
A "zero value TransferFrom" trükkel a csalók nullás értékű tranzakciókat erősítenek meg és eltérítik az áldozat tranzakciós előzményeit.
Mi a "zéró összegű utalás" trükk?
Az Etherscan adatai azt mutatják, hogy néhány kripto csaló egy új trükkel veszi célba a felhasználókat, amely lehetővé teszi számukra, hogy megerősítsenek egy tranzakciót az áldozat pénztárcájából anélkül, hogy a felhasználó privát kulcsa a birtokukban lenne. A támadás csak 0 értékű tranzakciók esetében hajtható végre.
A SlowMist blokkláncbiztonsági cég decemberben fedezte fel az új technikát, és egy blogbejegyzésben fedte fel azt. Azóta mind a SafePal, mind az Etherscan igyekszik korlátozni a felhasználókra gyakorolt hatását, de néhányan még mindig nem tudnak a létezéséről.
A SlowMist bejegyzése szerint az átverés úgy működik, hogy az áldozat pénztárcájából a támadó nullás tranzakciót küld egy olyan címre, amely hasonlónak tűnik ahhoz, amelyre az áldozat korábban már küldött tokeneket. Az áldozat láthatja ezt a tranzakciót az előzmények között, és arra következtethet, hogy a feltüntetett cím helyes. Ennek eredményeképpen pénzét közvetlenül a támadónak küldheti.
Hogyan működik?
Normál körülmények között a támadónak szüksége van az áldozat privát kulcsára ahhoz, hogy tranzakciót küldjön a felhasználó pénztárcájából. Az Etherscan "contract tab" funkciója azonban megmutatja, hogy egyes tokenszerződésekben van egy kiskapu, amely lehetővé teszi a támadó számára, hogy bármilyen pénztárcából tranzakciót küldjön.
Például az Etherscan-en az USD Coin (USDC) kódja azt mutatja, hogy a "TransferFrom" funkció lehetővé teszi, hogy bármely személy pénzt mozgasson egy másik személy pénztárcájából, amennyiben a küldött pénz mennyisége kisebb vagy egyenlő a cím tulajdonosa által engedélyezett összeggel. Ez általában azt jelenti, hogy egy támadó nem tud tranzakciót végrehajtani egy másik személy címéről, hacsak a tulajdonos nem hagyja jóvá a tranzakciót.
cointelegraph.com
Van azonban egy kiskapu ebben a korlátozásban. Az engedélyezett összeg számként van definiálva, ami azt jelenti, hogy nullaként értelmeződik, hacsak nincs kifejezetten más számra beállítva. Ez az "allowance" funkciónál látható. Ennek eredményeként, amíg a támadó tranzakciójának értéke kisebb vagy egyenlő nullával, addig bármelyik pénztárcából küldhet tranzakciót anélkül, hogy szüksége lenne a privát kulcsra vagy a tulajdonos előzetes jóváhagyására.
Néhány példa a csalásra
Egy Fake_Phishing7974 nevű fiók egy nem ellenőrzött intelligens szerződést használt, hogy több mint 80 tranzakciócsomagot hajtson végre január 12-én, és minden csomag 50 nulla értékű tranzakciót tartalmazott, ami összesen 4000 jogosulatlan tranzakciót jelentett egy nap alatt. Az egyes tranzakciókat közelebbről megvizsgálva kiderül, hogy mi a spam indítéka: A támadó olyan címekre küld nulla értékű tranzakciókat, amelyek nagyon hasonlítanak az áldozatok által korábban használt címekhez.
cointelegraph.com
Az Etherscan például azt mutatja, hogy a támadó által megcélzott felhasználói címek egyike a következő:
0x20d7f90d9c40901488a935870e1e80127de11d74.
Január 29-én ez a fiók engedélyezte 5000 Tether (USDT) küldését erre a fogadó címre:
0xa541efe60f274f813a834afd31e896348810bb09.
Közvetlenül ezután a Fake_Phishing7974 egy nulla értékű tranzakciót küldött az áldozat pénztárcájából erre a címre:
0xA545c8659B0CD5B426A027509E55220FDa10bB09.
Egyes pénztárcák egyáltalán nem mutatják a spam tranzakciókat, és az olyan cégek, mint a MetaMask, a SafePal és a Trezor mind arra törekszenek, hogy megkönnyítsék a felhasználók számára a címek ellenőrzését. Az Etherscan továbbá elkezdte beszürkíteni a nem a felhasználó által kezdeményezett nulla értékű token tranzakciókat. Ezeket a tranzakciókat egy figyelmeztetéssel is jelzi, amely szerint "Ez egy másik cím által kezdeményezett nulla értékű token átutalás".
Tippek a "zero value TransferFrom" trükk elkerülésére
A Slowmist képviselője a következő tippeket adta a támadás elkerülésére:
- "Legyünk óvatosak és ellenőrizzük a címet, mielőtt bármilyen tranzakciót végrehajtunk".
- "Használjuk a pénztárcában a whitelist funkciót, hogy megakadályozzuk a rossz címekre történő pénzküldést".
- "Maradjunk éberek és tájékozottak. Ha gyanús átutalásokkal találkozunk, szánjunk időt arra, hogy nyugodtan kivizsgáljuk az ügyet, elkerülve, hogy csalók áldozatává váljunk".
- "Tartsuk fenn az egészséges szkepticizmus szintjét, maradjunk mindig óvatosak és éberek."
Ezekből a tanácsokból ítélve a kriptohasználók számára a legfontosabb, hogy mindig ellenőrizzék a címet, mielőtt pénzt küldenének rá. Még ha a tranzakciós nyilvántartás azt is sugallja, hogy korábban már küldtünk kriptót az adott címre, ez a látszat csalóka lehet.
Csatlakozz te is a publikus kriptovaluta kereskedő discord csatornánkhoz!
További ajánlott cikkeink:
- Aktuális Bitcoin és kriptovaluta árfolyamok, coin elemzések
- Bitcoin és kriptovaluta konzultáció. Elakadtál? Kérdésed van? Segítünk!
- Bitcoin és blokklánc, egy új világ kezdete; Ebook
- Bitcoin és kriptovaluta adózás ultimate kisokos 2022
- Kriptovaluta és altcoin bemutatók, projekt ismertetők
- Bitcoin és kriptovaluta bányászat beállítások, útmutatók
- Kriptovaluta tőzsde ismertetők, Bitcoin vásárlás

Kanye West 2 millió dolláros ajánlatot kapott egy token indítására, de nemet mondott. Vajon mégis beszáll a kriptóba? A piac már fogad rá!
Haliey Welch, azaz a „Hawk Tuah” lány először szólalt meg a HAWK token elindítása és az azt követő katasztrofális összeomlás óta.

A cég szerint a SOL akár 520 dollárig is emelkedhet 2025 végére, ezzel minden idők legmagasabb árfolyamát hozva. De miért ennyire optimisták?

A Wall Street Pepe ($WEPE) előértékesítése immár átszárnyalt a 70 millió dolláros mérföldkövén, és már csak 8 nap van hátra belőle.