Киберпрестъпниците използват нова тактика, наречена transaction simulation spoofing, за да крадат криптовалути. При такава кампания успешно са откраднати 143,45 токена Ethereum на стойност приблизително 460 000 USD.
Атаката, забелязана от ScamSniffer, подчертава недостатък в механизмите за симулация на трансакции, използвани в съвременните Web3 портфейли. Парадоксалното е, че те са предназначени да предпазват потребителите от измамни и злонамерени трансакции.
Тази функция позволява на потребителите да преглеждат очаквания резултат от превод в блокчейн, преди да го верифицират и изпълнят. Атакуващите обаче примамват жертвите към злонамерен уебсайт, имитиращ легитимна платформа, която инициира това.
Измамата протича така:
- симулацията показва даден резултат;
- потребителят я одобрява и я подписва за официално изпълнение;
- нападателите използват времето между симулацията и изпълнението, за да променят договора в блокчейн;
- това променя резултата, до който ще доведе трансакцията.
По този начин злонамерения уебсайт да източи портфейла на жертвата и да изпрати криптовалутите към хранилището на нападателя.
Този нов вектор на атака представлява значителна еволюция в техниките за фишинг.
За да се защитите:
- винаги се отнасяйте с подозрение към офертите за безплатна симулация на трансакции;
- използвайте само проверени приложения.
-
-
-
-
-
