Крупнейшая потеря от мошенничества в блокчейне
Недавно произошла одна из крупнейших потерь от мошенничества в блокчейне. Атака с отравлением адреса, использующая особенности управления историей транзакций и повторного использования адресов в блокчейнах на основе аккаунтов, привела к тому, что один пользователь потерял почти 50 миллионов долларов в USDT.
Причины потери
По словам Чарльза Хоскинсона, этого бы не произошло на некоторых архитектурах, которые изначально более устойчивы к подобным ошибкам. Вот как это произошло.
Еще одна причина, почему модель UTXO великолепна. Bitcoin и Cardano не пострадали после того, как деньги были выведены из Binance. Кошелек жертвы, который был активен около двух лет и в основном использовался для переводов USDT, получил почти 50 миллионов долларов.
Как произошла атака
Пользователь отправил короткую тестовую транзакцию предполагаемому получателю, что многие могли бы считать безопасным поведением. Полная сумма была отправлена через несколько минут, но для этого второго перевода был использован неправильный адрес.
Ранее мошенник провел атаку с отравлением адреса, отправив небольшую сумму USDT из кошелька, созданного так, чтобы выглядеть как настоящий адрес, который жертва использовала ранее. Жертва ошибочно выбрала отравленный адрес вместо правильного, когда копировала адрес из истории транзакций. В результате 50 миллионов долларов были потеряны всего одним кликом.
Последствия и комментарии
«Это еще одна причина, почему модель UTXO великолепна,» — отметил Хоскинсон в ответ на инцидент.
Он прав. Модель на основе аккаунтов, которую использует Ethereum и многие другие EVM-цепочки, напрямую приводит к такого рода мошенничеству. Адреса отображаются как свободные строки в истории транзакций, а кошельки способствуют копированию из предыдущих обменов. Именно это и используют хакеры.
Различия в архитектуре блокчейнов
Цепочки, такие как Bitcoin и Cardano, основанные на модели UTXO, функционируют иначе. Каждая транзакция создает новые выходы, используя существующие. Кошельки обычно создают транзакции из явного выбора UTXO, а не из повторно используемых конечных точек аккаунтов, и пользователи не полагаются на копирование адресов назначения из историй аккаунтов таким же образом. Постоянное состояние аккаунта для визуального отравления не существует.
Заключение
Это не был недостаток протокола или уязвимость смарт-контрактов. Это был недостаток в дизайне, который взаимодействовал с человеческой природой, и за менее чем час он стоил 50 миллионов долларов.
