Атака АРА. Детальний розбір і методи захисту

13.12.2022
16 хв
360
4

Останніми тижнями почастішали «атаки отруєння» АРА (Address Poisoning Attack) з переказами $0 USD. За даними на 2 грудня в мережі «отруєно» понад 340 тис. адрес. Загалом ми маємо 99 адрес жертв і понад $1,64 млн вкрадених коштів.

У цій статті X-explore дає всебічний аналіз таких атак, відстежує зловмисників онлайн, а також показує детальну схему реалізації АРА.

Хотілося б, щоб додатки-гаманці активізували такі сповіщення про ризики. А звичайні користувачі були в курсі подібних загроз при переказі крипти.

Переклад статті від x-explore.eth

Історія

Нещодавно наш ончейн-моніторинг ризиків показав, що в мережах ETH і BSC часто бувають перекази по $0 USD. Ми взяли дані транзакцій BSC-chain як приклад, щоб показати, як це відбувається.

Жертва A робить звичайну транзакцію з переказу 452 BSC-USD Користувачеві B. Але Користувач B отримає 0 BSC-USD від Атакуючого C. У цей самий час, у тій самій транзакції хеша сам Користувач A помилково переказує 0 BSC-USD на адресу Атакуючого C (реалізація операції переказу 0 BSC-USD «туди-назад»):

Приклад атаки APA

Багато користувачів не розуміють, у чому справа. Вони бояться, що їхні закриті ключі під загрозою, і що зловмисники крадуть активи. Ось скріни повідомлень із соцмереж:

Скріни повідомлень про атаку

Цілі атаки

Насправді користувачам, які зіткнулися з такою ситуацією, не потрібно нервувати. Їхні активи в безпеці, приватний ключ не зламаний. Потрібно тільки уважно підтвердити адресу і не передавати невірну адресу. Методи хакера дуже прості:

  1. Він відстежує інформацію про переказ кількох стейблкоїнів ончейн. Наприклад, він перехоплює інформацію про переказ, який адреса Жертви А часто відправляє Користувачеві В.
  2. Далі створює хакерську Адресу C з тими самими першими й останніми цифрами, що й адреса користувача B. Потім жертва A і хакерська адреса C передають одна одній 0 монет. (Тут зловмисник може використати інструмент генерації чисел Profanity, щоб за кілька секунд згенерувати адресу з тими самими першими й останніми 7 цифрами, що й адреса користувача).
  3. Наступного разу, коли Жертва А неуважно копіює адресу історичної транзакції, дуже легко скопіювати саме Адресу С, підготовлену хакером для виверту. Таким чином кошти переводяться на неправильний рахунок.
Адреса користувача

Жертви переказують гроші на нормальні адреси:

Адреса зловмисника

Хакерські адреси з переказами $0:

Хакерська адреса з переказами

Жертви переказують гроші на хакерські адреси

Ось наші висновки з приводу атаки «address poisoning attack»:

  1. По-перше, хакер робить так, щоб його адреса відображалася в історії транзакцій користувача. Мета — щоб користувача не догледів і прийняв його за довірений контакт. Тобто адресу, якій часто відправляє гроші.
  2. По-друге, хакер створює адресу, що збігається з довіреною адресою за першими й останніми цифрами. Помилково її може використати жертва для наступної транзакції.

Користувачі ризикують втратити капітал, тож будьте напоготові!

Тенденції

На 2 грудня зафіксовано велику кількість таких атак: 290 000 у мережі BSC і 40 000 у мережі Ethereum. А кількість незалежних адрес, яких торкнулися атаки, перевищила 150 000 і 36 000 відповідно.

З погляду т