Хакери викрали 143 ETH через симуляцію транзакції

Фахівці Scam Sniffer повідомили про нову тактику зловмисників, які викрадають криптовалюти за допомогою фейкового моделювання транзакції. Під час тільки однієї атаки хакери вкрали 143,45 ETH (близько $460 000) за 30 секунд.

Деякі Web3-гаманці надають користувачам функцію попереднього перегляду результату транзакції перед її підписанням. Вона покликана підвищити прозорість процесу, даючи змогу перевірити суму зарахування, розмір комісії та інші дані в блокчейні.

Шахраї використовують уразливість цього механізму. Вони заманюють жертв на шкідливий сайт, який пропонує отримати невелику кількість Ethereum. Користувачеві доступний попередній перегляд транзакції клейма.

Однак затримка за часом між моделюванням і виконанням переказу дозволяє зловмисникам змінювати стан контракту в ланцюжку. У разі якщо користувач підпише транзакцію, хакери спустошать його гаманець.

Експерти рекомендують розробникам Web3-гаманців знизити частоту оновлення моделювання, щоб вона відповідала часу створення блоків, а також примусово оновлювати результати симуляції перед критичними операціями з попередженням користувачів про ризик.

Нагадаємо, наприкінці 2024 року фахівці Scam Sniffer розкрили шахрайську схему для крадіжки криптовалюти за допомогою фейкових інфлюенсерів і шкідливих Telegram-ботів.