Аірдроп Arbitrum і атака Sybil: вражаючий звіт щодо махінацій
- Аналітики X-explore проаналізували дроп Arbitrum
- І виявили масштабні атаки «sybil»
- Вони дали змогу незаконно отримати 253 млн токенів ARB
Днями відбувся довгоочікуваний дроп Arbitrum. І це стало шаленим шоу — з технічними перебоями, різким накачуванням курсу і таким же різким падінням. Можливо, масштаби демпінгу виявилися б скромнішими, якби не атаки Sybil. Виверти шахраїв ще перед дропом проаналізували експерти X-explore і WuBlockchain.
Довідка. Атака Сивілли (Sybil) – це вид атаки, коли зловмисник намагається захопити більшу частину ресурсів. Залежно від проєкту така атака може передбачати різні цілі та дії. У нашому випадку йдеться про мульти-акаунти та інші хитрощі, які дають змогу одній особі (або групі осіб) роздобути під час дропу велику кількість токенів. А потім розпродати їх, тим самим обваливши курс.
Атаки Сибілли – це серйозна загроза при аїдропах. По-перше, вони дамплять ціну токена проєкту. А по-друге, порушують правила справедливості.
Самі Arbitrum випустили правила перевірки адрес Sybil.
Проаналізувавши їх, команда X-explore помітила такі недоробки:
- Тут не враховувалися адреси, які вносять і виводять кошти через біржі, кросчейн-мости, смарт-контракти.
- Відносно слабко відстежували адреси однієї й тієї самої людини (мульти-акаунт).
- Для виявлення Сівілли використовувалися тільки дані до снапшотів (6 лютого 2023 р.).
- Для виявлення Sybil використовувалися тільки дані з Arbitrum і Ethereum, команда ігнорувала дані з інших мереж рівня 2 (наприклад, Optimism і Polygon).
Це дає шахраям значні лазівки. Так, спільноти Sybil використовують біржі для внесення коштів на безліч адрес. Оскільки команда не звіряла дані з біржами, такі адреси Сівілли не виключалися з аірдропу Aribtrum.
X-explore використовували внутрішню модель розпізнавання мультиакаунтів і адрес Сібілли. Вони ідентифікували понад 279 328 адрес мультиакакаунтів і 148 595 адрес Сивілли, які отримали аірдроп.
Адреси-same-person
Для виявлення таких адрес команда запустила алгоритм Louvain Community Detection Algorithm. Він перевірив усі 624 136 адрес EOA, розісланих по аірдропу.
Результати показують, що 279 328 адрес утворюють понад 60 000 спільнот. Оскільки на особисті адреси в одній і тій самій спільноті часто переказують кошти, їх вважають адресами мультиакаунтами (або адресами same-person). На їхню частку припадає приблизно 557 млн токенів, або 47,96% від загальної кількості монет Arbitrum, розісланих по аірдропу.
Нижче показано розподіл розміру групи адрес same-person і відповідної кількості адрес. Ми бачимо велику кількість дрібних спільнот з одними й тими самими людьми, які отримали токени в рамках дропу Arbitrum.
Адреси Сибілли
Експерти додатково вивчили знайдені адреси same-person і ретельно перевірили, щоб ідентифікувати серед них Сибіл. Загалом було знайдено 148 595 адрес Sybil. На їхню частку припадає близько 253 млн токенів Arbitrum або 21,8% від загальної кількості, розісланих за аірдропом.
Склад адрес Sybil складається з двох груп:
- Спільноти з великою кількістю адрес same-person.
- Адреси, які ідентифіковані в Ethereum і декількох мережах рівня 2 Ethereum (Arbitrum, Optimistism тощо).
Для боротьби з виявленням атаки Sybil зловмисники використовували мости, централізовані біржі та смарт-контракти. Це запобігло прямим зв’язкам між великою кількістю адрес і зробило кожну адресу максимально незалежною, щоб уникнути виявлення Sybil.
Аналіз показав, деякі Sybil успішно протистояли правилам виявлення, і велика кількість адрес отримала цей аірдроп.
Атаки через CEX
Серед одержувачів дропу виявлено 2997 адрес, які в період з 24 по 28 серпня минулого року робили малі перекази з Binance. Суми виводів були дуже постійними, від 0,00114 до 0,00116 ETH (близько $2).
Аналогічно вони виявили подібні акаунти на інших біржах і з іншими датами переказів.
Далі вони проаналізували адреси Сівілли, які робили виведення коштів з бірж. На додаток до постійної кількості коштів, вони також мають дуже стабільні виклики смарт-контрактів.
Примітка. Точки на малюнку представляють адреси, а ребра — взаємодії між адресами.
Атаки через мости
Детективи виявили 1114 адрес, які в період з 2 по 7 листопада 2022 року перейшли на Arbitrum через міст HOP. Суми депозиту були дуже постійними, від 0,0025 до 0,0025 ETH (близько $4). Ці адреси отримали під час дропу 1,08 млн токенів.
Атаки через смарт-контракти
Як приклад наводиться адреса, яка внесла кошти на 1274 адреси аірдропа через контракт Disperse. Загалом X-explore виявили 9 483 таких адрес-донорів. Загалом вони отримали 10,98 млн токенів.
Атака Сівілли після снапшотів
У прикладі X-explore показують атакуючого, який має 198 адрес і заробив 174 375 токенів. Хоча ці адреси мають очевидну шахрайську поведінку, їх не виключили зі списку аірдропа, оскільки ті почали «колекціонувати» монети та NFT після снапшоту.
Атака Sybil та інші мережі
Експерти знайшли приклад, у якому атакувальник містить загалом 202 адреси і заробив 204 250 токенів. Ці адреси мають дуже схожі записи транзакцій у мережі Arbitrum, але суми та час транзакцій трохи відрізняються. Тому команда не ідентифікувала їх як Sybil. Ці ж адреси мають ідентичні записи транзакцій у мережі OP (Optimism).
Оцінюючи результати цієї атаки, X-explore виявили, що деякі інші проєкти (Synapse, Balancer тощо) теж схильні до таких атак. Якщо проєкти не блокуватимуть таких шахраїв на майбутніх дропах, ці адреси знову стануть великими переможцями.
Висновок
За оцінками X-explore, в аірдропі брали участь близько 150 тис. адрес Sybil і щонайменше 4000 спільнот Sybil. Їхній загальний прибуток становить понад 253 млн токенів.
Після кількох раундів перевірки фахівці отримали перевірений список адрес Sybil. Вони закликають команду Arbitrum зв’язатися з ними для подальших дій.
