Кошелек от биржи Coinbase оказался уязвим перед скрытыми атаками смарт-контрактов даже несмотря на систему по защите от них
Криптовалютный кошелек Coinbase Wallet, а также другие децентрализованные приложения, уязвимы к скрытым атаками смарт-контрактов. Об этом на официальном сайте сообщили аналитики ZenGo Wallet. Как утверждают исследователи, многие криптоприложения оказались уязвимы к скрытым вредоносным функциям смарт-контрактов. Даже реализованные системы защиты не помогают обнаружить несанкционированные действия со стороны протоколов, отмечают в ZenGo Wallet.
По словам исследователей, злоумышленники научились «обманывать» криптокошельки, эмулируя легитимную деятельность во время проверки смарт-контракта системой защиты приложения. Убедившись в надежности протокола, жертва проводит реальную операцию с криптовалютой. На этом этапе смарт-контракт замечает, что операция не проверяется системой защиты и меняет значения для кражи активов из кошелька.
Помимо Coinbase Wallet, к так называемой «атаке красной таблетки» уязвимы и другие приложения вроде Rabby Wallet, Blowfish, PocketUniverse и Fire Extension. В ZenGo Wallet утверждают, что уведомили представителей проектов о выявленной уязвимости. Масштаб «атаки красной таблетки» остается неясен. О том, какой выбрать кошелек для хранения криптовалют — читайте в специальном материале редакции.
О похожей системе защиты для своего браузерного расширения под Safari ранее говорили и в Ledger. Сообщалось, что браузерное расширение Ledger Extension будет имитировать проведение транзакции, чтобы показать, как подключенный протокол намерен взаимодействовать с криптовалютным кошельком. Однако неясно, учли ли в Ledger сценарий вышеописанных атак против эмуляторов для смарт-контрактов.
- Ранее аналитики IT-фирмы Halborn обнаружили критические уязвимости почти у трех сотен блокчейн-сетей, включая Litecoin. Уязвимость под кодовым названием Rab13s связана с одноранговыми переводами между криптовалютными кошельками.
- Выяснилось, что злоумышленники могут отключать ноды (валидаторов/майнеров) от сети всего лишь с помощью одной транзакции с вредоносным кодом. Отключив достаточное количество нод, хакер может провернуть атаку 51%. Помимо зараженных транзакций, хакеры могут отключить ноду при помощи RPC-сообщений.
- Впрочем, для проведения такой атаки в ноде должны быть прописаны обширные права доступа, что сразу сужает масштаб атаки.
Согласно правилам Trust Project, BeInCrypto стремится предоставлять только непредвзятую и правдивую информацию. Цель этой новостной статьи — осветить событие точно и своевременно. Тем не менее, BeInCrypto рекомендует читателям самостоятельно проверять информацию и консультироваться со специалистом, прежде чем принимать любые финансовые решения на основе этого контента. Также обратите внимание, что наши «Условия и положения», «Политика конфиденциальности» и «Дисклеймеры» были обновлены.