Einführung in den On-Chain-Betrug
Kürzlich kam es zu einem der größten Verluste durch On-Chain-Betrügereien. Ein Address-Poisoning-Angriff, der die Art und Weise ausnutzt, wie kontobasierte Blockchains Transaktionshistorien und Adresswiederverwendung verwalten, führte dazu, dass ein einzelner Nutzer fast 50 Millionen USDT verlor. Laut Charles Hoskinson hätte dies auf einigen Architekturen, die von Natur aus widerstandsfähiger gegen solche Fehler sind, nicht passieren dürfen.
Details des Vorfalls
Ein weiterer Grund, warum das UTXO-Modell so vorteilhaft ist. Bitcoin und Cardano waren nicht betroffen, nachdem das Geld aus der Binance-Wallet des Opfers abgehoben wurde. Diese Wallet war etwa zwei Jahre aktiv und wurde hauptsächlich für USDT-Überweisungen genutzt, wobei sie fast 50 Millionen USDT erhielt. Der Nutzer sendete zunächst eine kurze Testtransaktion an den vorgesehenen Empfänger, was viele als sicheres Verhalten betrachten würden. Der volle Betrag wurde einige Minuten später gesendet, jedoch wurde für diese zweite Überweisung eine falsche Adresse verwendet.
Der Betrugsmechanismus
Zuvor hatte der Betrüger einen Address-Poisoning-Angriff durchgeführt, indem er einen kleinen Betrag USDT von einer Wallet sendete, die so gestaltet war, dass sie wie eine echte Adresse aussah, die das Opfer zuvor verwendet hatte. Das Opfer wählte versehentlich die vergiftete Adresse anstelle der richtigen, als es die Adresse aus der Transaktionshistorie kopierte. Infolgedessen gingen 50 Millionen Dollar mit nur einem Klick verloren. Obwohl es wahrscheinlich bewegt oder umgetauscht wird, befindet sich das gestohlene USDT derzeit noch an der Zieladresse.
„Das ist ein weiterer Grund, warum das UTXO-Modell so vorteilhaft ist“, sagte Hoskinson als Reaktion auf den Vorfall.
Die Vorteile des UTXO-Modells
Er hat nicht Unrecht. Das kontobasierte Modell, das Ethereum und viele andere EVM-Chain verwenden, führt direkt zu dieser Art von Betrug. Adressen werden als freie Zeichenfolgen in der Transaktionshistorie angezeigt, und Wallets fördern das Kopieren von vorherigen Transaktionen. Genau das nutzen Hacker aus.
Chains wie Bitcoin und Cardano, die auf dem UTXO-Modell basieren, funktionieren anders. Jede Transaktion erzeugt neue Ausgaben, während bestehende verbraucht werden. Wallets erstellen normalerweise Transaktionen aus expliziten UTXO-Auswahlen anstelle von wiederverwendeten Kontopunkten, und Nutzer verlassen sich nicht darauf, Zieladressen auf die gleiche Weise aus Kontohistorien zu kopieren. Ein persistenter Kontostand, der visuell vergiftet werden könnte, existiert nicht.
Fazit
Dies war kein Protokollfehler oder ein Exploit für Smart Contracts, sondern ein Designfehler, der mit der menschlichen Natur interagierte und in weniger als einer Stunde 50 Millionen Dollar kostete.
