
SlowMist обнаружила новый вид атак на биткоин-биржи
Злоумышленники отправляют на криптобиржи поддельные транзакции, которые платформы ошибочно идентифицируют как законные депозиты и зачисляют средства на счет. Этот вид атак раскрыли специалисты SlowMist. Данные: X.
«Следует отметить, что атаки через фейковые депозиты не являются уязвимостями блокчейна. Вместо этого злоумышленники используют определенные характеристики сетей для создания специальных транзакций», — отметили эксперты. По их словам, задачей хакеров является эксплуатация багов и системных ошибок в биржевых механизмах обработки депозитных операций.
С 2018 года специалисты SlowMist обнаружили несколько разновидностей подобных атак. В их числе: транзакция появляется в мемпуле, но так и не включается в блок из-за ее замены атакующим; операция попадает в блок, но не исполняется из-за указанного заведомо неправильного параметра логики; перевод учитывается несколько раз (двойная трата); форк сети, когда блок и транзакции в нем признаются недействительными; отзыв перевода. Последний способ злоумышленники применили с токенами TON, использовав свойства блокчейна, привели пример эксперты.
Практически все внутренние сообщения между смарт-контрактами в этой сети должны быть «отклоняемыми». В результате хакеры, совершая транзакцию на аккаунт без контракта и установив опцию «возврат», получают свои средства назад за вычетом комиссий. При этом биржа успевает зачислить им отозванный перевод, указали в SlowMist.
Читать на forklog.com
