Новий scam на Revoke: розбираємо схему і як від неї захиститися

Що взагалі сталося?

7 липня стало відомо про злам Fantom-моста Multichain. Peckshield і майданчики на кшталт Revoke і Rabby рекомендували користувачам відкликати дозволи у смартконтрактів, пов’язаних із протоколом, щоб уникнути витоку коштів. Це зі свого боку викликало пік активності на Revoke – найпопулярнішому сервісі для відкликання дозволів.

Потім, на вихідних почали з’являтися повідомлення від користувачів Revoke, які отримали повідомлення про апруви в мережі Binance Smart Chain, яких вони не здійснювали. При спробі відкликати ці дозволи через сервіс, з гаманця списуються токени BNB на суму до $60 при середній комісії BSC у розмірі 3 Gwei (0.000000003 BNB).

Як влаштована схема?

1. Скамер розгорнув у мережі BSC смартконтракт фейкового токена DAI, які були розіслані на гаманці користувачів. Адреса контракту (0x1af32e8488822bf8e2e2ffff374de8d737ecfb368c3) вже позначена як фішингова.
2. У підробленому контракті функцію approve було змінено таким чином, що скамер сам додав апруви на використання фейкового токена для багатьох гаманців.
3. Транзакції токенів з апрувом затригерило системи безпеки Revoke і Rabby, які закликали одержувачів токена відкликати дозволи.
4. Користувачі почали відкликати дозвіл з фейкових DAI, але модифікована функція approve також передбачала паралельний мінт газ-токенів $CHI. Ліміт витрат на мінт $CHI обмежується розміром блоку і при середньому розмірі комісії на BSC становить ~$60.
5. Ці газ-токени потім відправляють на адресу скамера, а він уже продає їх на ринку.

По суті, користувач власним коштом мінтує газ-токени, які потім відразу ж відправляють скамеру. Це не викликає підозр, оскільки витрати на мінт $CHI класифікуються як комісія за транзакцію.

Що таке газ-токени?

Концепція GasTokens вперше була опублікована на GitHub у 2018-му і позиціонувалася як інструмент, що дає змогу знизити вартість газу в мережі Ethereum через його токенізацію. Щоб зрозуміти, як це працює, нам потрібно знати таке:

• Комісія за транзакцію — це, по суті, плата за використання ресурсів блокчейна, до числа яких входять обчислення і простір для зберігання.
• У 2017-му Ethereum ввів функцію повернення газу за видалення непотрібних даних смартконтракту. Задум простий — розробник видаляє непотрібні дані, чим звільняє простір для зберігання, а натомість отримує компенсацію у вигляді частини його вартості.

Творці механізму GasTokens експлуатують цю функцію для створення так званих газових «батарей», які можуть витрачатися в періоди пікової комісії в мережі. Працює це так:

1. Користувач створює смартконтракт у період низького навантаження на мережу і платить комісію за запис даних. У цей момент він також мінтить газ-токени.
2. Смартконтракт виконує роль батареї. Тепер, коли комісія в мережі зросте, можна видалити записані в ньому раніше дані й отримати компенсацію за звільнене місце для зберігання. При видаленні даних газ-токени спалюються.
3. Компенсація за звільнене місце покриває частину витрат на комісію, тобто за фактом здешевлює вартість транзакції.

Цей механізм активно використовували 1Inch, запустивши свій токен для токенізації газу — $CHI.

У 2021-му Ethereum ухвалив EIP-3529, який відключив функцію компенсації, зробивши газ-токени марними. Однак у BSC і ще кількох EVM-мережах вона досі працює, що дає змогу використовувати $CHI за прямим призначенням.

Що робити, щоб не потрапити в пастку?

Ми поспілкувалися з командою безпеки HAPI Labs і вони зазначають, що загалом газ-атаки не нове явище для крипти. Особливістю ж конкретної цієї атаки стало використання Revoke і вдало обраний час — загальна паніка на тлі злому Multichain.

Основний запобіжний захід — перевіряти адресу смарт-контракту при наданні/відкликанні апруву і будь-якій іншій взаємодії. Верифіковані адреси доступні на сайті проєкту або в агрегаторах даних.

Також можна використовувати чекер від HAPI Labs, він дає змогу відразу побачити рейтинг ризику гаманця або смартконтракту:

Revoke також вжила заходів щодо захисту користувачів і блокує апруви, для відкликання яких витрачається занадто багато газу, а частина фейкових дозволів була прихована на початку атаки за допомогою нативних фільтрів сервісу.

Користувачі закликають BSC прийняти аналог EIP-3529, щоб усунути подібні атаки в майбутньому. Втім. BSC може бути не останньою вразливою мережею, тож краще виробити звичку постійно перевіряти смарт-контракти й активність гаманця.

Висновок

Крипторинок все ще дикий дикий вест, небезпечний для недосвідчених ковбоїв. Скамери використовують будь-яку ситуацію та інструменти, щоб спустошити гаманці криптанів. Випадок з Revok – це ефективне поєднання панічного інфошуму навколо Multichain і газ-токенів, що вже встигли забутися.

Щоб не стати жертвою шахраїв, досить уважно перевіряти транзакції гаманця і смарт-контракти активів, з якими плануєте взаємодіяти. Для швидкої перевірки можна використовувати безкоштовний чекер від HAPI Labs.

Випадок з BSC може бути не останнім, є й інші вразливі для газ-атаки мережі!