Harvinainen hyvän mielen käänne tapahtui tällä viikolla kryptomaailmassa, kun käyttäjä sai takaisin varansa menetettyään 100 ETH lompakon virheen vuoksi.
Palautus oli mahdollista Safe Wallet -tiimin toiminnan ja Protofiren valkohattuhakkerien ennakoinnin ansiosta.
100 ETH katosi lompakkovirheen vuoksi—sitten palautettiin upeassa pelastuksessa
Tapahtuma alkoi, kun pitkäaikainen Ethereum-käyttäjä khalo_0x X:ssä (Twitter) yritti siirtää 100 ETH Ethereum Mainnetistä Base-lohkoketjuun. Hän käytti virallista Safe Wallet Bridge -käyttöliittymää.
Nykyisillä kursseilla, kun ETH:n hinta on 2 635 dollaria tätä kirjoitettaessa, tämä siirto oli arvoltaan yli 263 500 dollaria.
Hän ei tiennyt, että kriittinen käyttäjäkokemuksen virhe sillan työkalussa mahdollisti siirron älysopimus-lompakkoon, joka näytti olevan hänen.
Tämä lompakko oli kuitenkin toisen tahon hallinnassa.
Ongelman ydin oli Khalon käyttämässä vanhassa Safe-versiossa (v1.1.1), joka otettiin käyttöön vuonna 2020. Tämä vanha versio oli ennen moniketjuajattelua ja puuttui suojauksia, jotka ovat nyt standardeja uudemmissa versioissa.
Tämän seurauksena hyökkääjä, tai siltä se aluksi vaikutti, oli aiemmin ottanut käyttöön kopion Khalon lompakko-osoitteesta Basessa, mutta eri omistajakonfiguraatiolla. Näin he kaappasivat varat heti, kun ne siirrettiin.
“Menetin elämäni säästöt yhdellä klikkauksella käyttäessäni Safea viime yönä. Tämä tapahtui 8 vuoden ETH:n hallussapidon ja huijausten välttämisen jälkeen. Virallinen Bridge-ominaisuuden UX-virhe antoi ymmärtää, että kohdeosoite oli Safe-osoitteeni Basessa. Se ei ollut,” Khalo valitti viestissään.
Twiitti herätti kryptoyhteisön huomion, mukaan lukien Safe-tiimin. Rakentaja Tschubotz.eth tutki asiaa ja havaitsi, että Base-osoite, joka hallitsi siirrettyä ETH:ta, ei ollutkaan haitallinen.
Vanhentunut lompakkoversio avasi oven cross-chain-hyökkäykselle
Sen sijaan sen oli ottanut käyttöön Protofire, valkohattu-kehitysyhtiö, joka oli ennakoivasti ottanut käyttöön satoja Safe v1.1.1 -lompakoita Basessa estääkseen mustahattuhyökkääjiä tekemästä niin.
“Toisin kuin EOAt (ulkopuoliset tilit), älytilit kuten Safe ovat otettu käyttöön älysopimuskoodilla. On teknisesti mahdollista ottaa käyttöön älytili samalla käyttöönottoasetuksella (samat allekirjoittajat) eri ketjuissa samassa osoitteessa (käyttäen counterfactual deploymentia)…Mutta tämä tapaus oli erilainen… Silloinen älytiliversio (v1.1.1.) ei ollut vielä kirjoitettu moniketjuajattelua silmällä pitäen, joten oli mahdollista, että kuka tahansa voisi ottaa käyttöön älytilin eri ketjussa täysin eri konfiguraatiolla samassa osoitteessa,” Safe-yhteisön perustaja Lukas Schor selitti.
Khalon henkilöllisyyden varmistamisen jälkeen Protofire palautti välittömästi koko 100 ETH:n summan. Onnistunut täysi siirto seurasi testisiirtoa, ratkaisten kriisin vain muutamassa tunnissa sen alkamisen jälkeen.
“Tämä on yksi siisteimmistä kryptotarinoista, joita olen nähnyt pitkään aikaan,” sanoi Haseeb Qureshi, Dragonflyn hallinnoiva osakas.
Tapaus korostaa kiireellistä tarvetta paremmille käyttäjäsuojille, kun kryptolompakot kehittyvät moniketjuisissa ekosysteemeissä.
Safe:n päivitetty versio v1.2.0 sisältää nyt suojauksia tämän tyyppistä hyväksikäyttöä vastaan muuttamalla, miten CREATE2-suola lasketaan sopimuksen käyttöönoton aikana.
Myös sillan työkalua on päivitetty antamaan varoituksia, jos ristiriitaista älysopimus-koodia on olemassa kohdeosoitteessa.
Silti tapaus on muistutus siitä, että käyttäjät ovat edelleen alttiita hienovaraisille, ei-ilmeisille virheille.
“…olemme yhä siinä pisteessä, että käyttäjien odotetaan tekevän testisiirtoja ennen suurempien varojen siirtämistä.,” Schor lisäsi.
Alkuperäisestä järkytyksestä huolimatta Khalon tarina päättyi siihen, että hänen varansa palautettiin.
Vastuuvapauslauseke
Kaikki verkkosivustollamme olevat tiedot julkaistaan vilpittömässä mielessä ja ainoastaan yleiseen tiedottamiseen. Lukijan on toimittava verkkosivustomme tietojen perusteella täysin omalla vastuullaan.
