Задержки при заморозке USDT
Согласно новому отчету компании AMLBot, существует «значительная задержка» между заявлениями обменов о заморозке USDT, оказывающегося на злонамеренных адресах, и фактическим осуществлением этой заморозки. Отчет AMLBot показывает, что принудительное выполнение заморозки стейблкоина Tether происходит медленно.
Финансовые потери из-за уязвимости
В результате, по данным компании, не менее $78 миллионов были потеряны злонамеренными акторами в сети Ethereum и Tron с 2017 года. «Задержки в заморозке активов» являются результатом настройки многофункционального контракта Tether, объяснил AMLBot в своем отчете.
«Во-первых, запрос на заморозку отправляется в блокчейн, и для его утверждения требуется несколько подписей, прежде чем заморозка может быть выполнена. Таким образом, создается «окно возможностей», позволяющее неправомерным лицам перемещать средства до фактической заморозки их адресов.»
Примеры задержек
Один из примеров, приведенных в отчете, демонстрирует 44-минутную задержку между запросом на заморозку и его подтверждением на платформе Tron. AMLBot утверждает, что $49.6 миллиона было выведено злонамеренными актерами в сети Tron с 2017 года из-за этой уязвимости. Злоумышленники смогли осуществить до трех транзакций в течение этого «окна задержки»; 4.88% адресов, находящихся в черном списке, использовали эту задержку в своей практике.
Тем временем на Ethereum компания зафиксировала $28.5 миллиона USDT, выведенных за тот же период. В итоге общая сумма потерь составляет $78.1 миллиона на обеих платформах.
Рекомендации по улучшению
«Это не обязательно указывает на проблему с самим контрактом. Скорее, это операционная проблема, создающая временное окно между моментом подачи транзакции в черный список и моментом ее исполнения», — заявил представитель PeckShield изданию Decrypt. «С учетом чувствительного характера вопроса безопасности, улучшения определенно необходимы».
Проблемы с автоматизацией
Tether является эмитентом крупнейшего стейблкоина в криптоиндустрии — USDT, который стремится поддерживать свою стоимость на уровне долларом США. Компания ставит определенные адреса в черный список и запрещает им торговать своими продуктами, если они связаны с незаконной деятельностью, например, с хакерской атакой на Bybit на сумму $1.4 миллиарда ранее в этом году.
Находиться в черном списке означает, что адрес больше не может перемещать активы, выпущенные Tether, что по сути делает токены бесполезными. Однако AMLBot считает, что злоумышленники осведомлены о вышеописанных задержках и разрабатывают инструменты для их эксплуатации.
«Инструменты могут быть запрограммированы для мониторинга блокчейна на предмет конкретных взаимодействий с контрактом, таких как вызовы submitTransaction, относящиеся к запросам на заморозку», — сказал Слава Демчук, CEO AMLBot, изданию Decrypt. «Боты могут предупреждать владельцев кошельков в тот момент, когда инициируется заморозка, но до ее исполнения. Учитывая задержку, вызванную многофункциональной подписью Tether, это предоставляет узкое, но критически важное окно для незаконных лиц для быстрого перемещения средств».
«Хотя мы не наблюдали сами боты, поведение в блокчейне сильно предполагает, что такая автоматизация имеет место», — добавил он.
Заключение
PeckShield предупредила, что задержка заложена в способ, которым многоподписные аккаунты функционально устроены. Проще говоря, требуется время на то, чтобы несколько людей подписали транзакцию, хотя в некоторых случаях это необходимо для повышения уровня безопасности. Фирма предложила, что Tether может объединить запрос на заморозку и подписи в одну транзакцию, чтобы устранить это «окно возможностей».
Tether не ответила на запрос Decrypt на комментарий до публикации, и эта статья будет обновлена после получения ответа.
