Milliárdokat nyel el az új Ethereum-csalás – Te is veszélyben lehetsz
Az elmúlt napokban több cikkben is írtunk arról, hogy az Ethereum hálózatán rekordszámú tranzakció zajlik és tömegével hoznak létre új tárcákat is. Január 16-án a napi tranzakciók száma történelmi, 2,8 milliós csúcsra jutott, miközben ugyanezen a napon az azt megelőző 30 napban létrehozott új Ethereum-címek száma elérte a 12,6 milliót, ami az eddigi legmagasabb ilyen szám 30 napos intervallumban.
Viszont egy Andrey Sergeenkov nevű újságíró elmélete szerint a hatalmas felpörgést egy tömeges „address poisoning” támadás okozta. Ebben a típusú támadásban a rosszindulatú szereplők olyan címet generálnak, aminek az eleje vagy a vége megegyezik az áldozat címével, majd küldenek minimális kriptót is az áldozatnak, hogy megjelenjen az új cím az előzmények között. Így ha később csak a tranzakciós listából másolja a felhasználó a címet, könnyen rossz helyre küldheti a pénzt. Ez a módszer a nehezen átlátható és kezelhető felhasználói felületekre, a figyelmeztetések hiányára és az áldozat figyelmetlenségére épít.
Az address poisoning tartós probléma az Ethereum számára
Szakértők szerint ezek a problémák ráadásul tartósan fennállhatnak és egyre nagyobb mértéket öltenek. Az Ethereum metrikák vonatkozásában pedig ez azt is jelenti, hogy a csalók folyamatosan új, megtévesztően hasonló címeket generálnak, ami növeli az aktivitás látszatát – ugyan ez megvan a tranzakciók számában is. Elsőre nehéz elképzelni, hogy dőlhet be valaki az address poisoningnak – de ez egy alacsony költséggel járó támadási módszer. Ha csak egy vagy két ember bedől a téves címnek a sok ezer célbavett áldozat közül, már megérte a támadónak.
Az „address poisoning” által generált veszteségek viszont óriásiak lehetnek attól függően, hogy ki dől be nekik. A Scam Sniffer számolt be arról még tavaly év végén, hogy egy felhasználó 50 millió dollárt veszített egy ilyen tévedés miatt.
Egy elemző cég csak az elmúlt pár nap vonatkozásában több mint 1 millió address poisoning támadáshoz kapcsolódó lépést fedezett fel az Ethereumon. Ez egyértelmű következménye a decemberben élesbe ment Fusaka Ethereum-frissítésnek, ami segített csökkenteni a tranzakciók költségét, de így a tömeges address poisoning támadások is sokkal olcsóbbá váltak a csalók számára.
Plusz a szintén most bevezetett account abstraction bevezetése (a fiókok okosszerződések által kezelése) lehetővé tette azt is, hogy a felhasználók akaratlanul is aláírjanak olyan tranzakciókat, amelyeket nem is értenek. A felhasználók óvatossága mellett fontos lépés lehetne az ilyen támadások megakadályozásában a kriptotárcák fejlesztése. A tárcáknak olyan figyelmeztetéseket kellene generálniuk, amelyek segítenek elkerülni a téves címeket vagy akár ember által jobban olvasható azonosítók bevezetésével megakadályozni a tévedéseket. Van már olyan tárca, amely figyelmeztetést küld a felhasználónak, ha az korábban még sosem használt címet akarna használni. Amíg azonban ezek a plusz védelmi opciók nem terjednek el jobban, addig leginkább a figyelem és az óvatosság marad.