Truffe On-Chain: Un Attacco di Avvelenamento degli Indirizzi
Recentemente, si è verificata una delle più grandi perdite dovute a truffe on-chain. Un attacco di avvelenamento degli indirizzi, una frode che sfrutta il modo in cui le blockchain basate su account gestiscono la cronologia delle transazioni e il riutilizzo degli indirizzi, ha causato la perdita di quasi 50 milioni di dollari in USDT per un singolo utente.
Secondo Charles Hoskinson, ciò non sarebbe accaduto su alcune architetture che sono intrinsecamente più resilienti a errori di questo tipo.
Come è Avvenuto l’Attacco
Il portafoglio della vittima, attivo da circa due anni e utilizzato principalmente per trasferimenti di USDT, ha ricevuto quasi 50 milioni di dollari. L’utente ha inviato una breve transazione di prova al destinatario previsto, un comportamento che molti considererebbero sicuro. Tuttavia, l’importo totale è stato inviato pochi minuti dopo utilizzando un indirizzo errato.
In precedenza, il truffatore aveva effettuato un attacco di avvelenamento degli indirizzi inviando una piccola quantità di USDT da un portafoglio progettato per sembrare un vero indirizzo utilizzato in precedenza dalla vittima. La vittima ha erroneamente scelto l’indirizzo avvelenato anziché quello corretto quando ha copiato l’indirizzo dalla cronologia delle transazioni. Di conseguenza, 50 milioni di dollari sono stati persi con un solo clic.
Le Conseguenze dell’Attacco
Anche se probabilmente verrà spostato o scambiato, l’USDT rubato è attualmente ancora all’indirizzo di destinazione.
“Questo è un altro motivo per cui il modello UTXO è vantaggioso,” ha dichiarato Hoskinson in risposta all’incidente.
Non ha torto. Il modello basato su account che Ethereum e molte altre catene EVM impiegano porta direttamente a questo tipo di truffa. Gli indirizzi sono visualizzati come stringhe libere nella cronologia delle transazioni e i portafogli promuovono la copia da scambi precedenti. Questo è esattamente ciò di cui approfittano gli hacker.
Il Vantaggio del Modello UTXO
Catene come Bitcoin e Cardano, che si basano sul modello UTXO, funzionano in modo diverso. Ogni transazione produce nuovi output mentre consuma quelli esistenti. I portafogli di solito creano transazioni da selezioni UTXO esplicite piuttosto che da endpoint di account riutilizzati, e gli utenti non si affidano alla copia degli indirizzi di destinazione dalle cronologie degli account nello stesso modo. Non esiste uno stato di account persistente da avvelenare visivamente.
Questo non è stato un difetto di protocollo o un exploit per contratti intelligenti. È stata una falla nel design che ha interagito con la natura umana, e in meno di un’ora, è costata 50 milioni di dollari.
