Злоумышленники воспользовались функцией кода «Create2» Ethereum для обхода предупреждений безопасности после несанкционированного доступа к приватным ключам.
Она также позволяет создавать временные адреса для каждой вредоносной подписи, что привело к краже криптовалют на сумму $60 млн у 99 000 человек за шесть месяцев. Один из пользователей потерял $1,6 млн.
«Create2» — это код операции в Ethereum, появившийся после обновления «Константинополь», который позволяет создавать смарт-контракты в блокчейне, — отметили специалисты компании ScamSniffer.
В отличие от исходного кода операции «Create2», который генерирует новые адреса на основе кошелька создателя и nonce, «Create2» позволяет создавать адреса до развёртывания контракта. Он активно используется такими платформами как Uniswap для создания парных контрактов.
«Create2» предоставляет значительные преимущества разработчикам, но вместе с этим он создаёт проблемы для безопасности и новые векторы атак.
В отчёте ScamSniffer поясняется, что «Create2» можно использовать для создания новых адресов смарт-контрактов без истории вредоносных/зарегистрированных транзакций, что позволяет обойти предупреждения безопасности кошелька.
Когда жертва подписывает вредоносную транзакцию, злоумышленник развёртывает контракт по заранее рассчитанному адресу и переводит на него активы жертвы.
В исследовании описывается случай, когда жертва потеряла GMX на сумму $927 тысяч после того, как её обманом заставили подписать смарт-контракт о передаче, по которому активы ушли на подмененный адрес.
Схема, получившая название «отравление адреса», предполагает создание большого количества адресов и последующий выбор тех, которые соответствуют конкретным целям подмены адреса кошелька.
Большинство этих атак остались незамеченными, но некоторые всё же привлекли внимание сообщества.
В начале года MetaMask предупредил о мошенниках, использующих недавно сгенерированные адреса, совпадающие с теми, которые жертвы использовали в недавних транзакциях.
В начале августа 2023 года сотрудник Binance по ошибке отправил $20 млн мошенникам, которые применили трюк с «отравлением адреса», но на бирже быстро заметили ошибку и заморозили адрес получателя.
ScamSniffer советует при совершении криптовалютных транзакций всегда тщательно проверять адрес получателя, а не только первые и последние три-четыре символа.
