MetaMask powiadomił społeczność kryptograficzną o nowym rodzaju oszustwa o nazwie „address poisoning” w a Ostatnia wiadomość.
Oszustwo zostało ocenione jako „raczej nieszkodliwe w porównaniu z innymi rodzajami oszustw”. Firma ostrzegła jednak, że zatruwanie adresów nadal może skłonić niczego niepodejrzewających użytkowników do utraty środków.
"Zatrucie adresu jest wektorem ataku, który w przeciwieństwie do innych oszustw — które często wykorzystują metody, które tak dobrze służyły wielu oszustom, takie jak nieograniczone zatwierdzanie tokenów, phishing w celu uzyskania tajnej frazy odzyskiwania itp. — polega przede wszystkim na nieostrożności i pośpiechu użytkownika".
Jak działa „zatruwanie adresów”.
Zatruwanie adresów koncentruje się na adresach portfeli, które są długimi liczbami szesnastkowymi, które są trudne do zapamiętania i łatwe do pomylenia z innymi, podobnymi adresami.
Adresy kryptograficzne są często skracane, aby pokazać kilka pierwszych znaków, spację, a następnie kilka ostatnich. Oszuści wykorzystują tendencję do ufania znajomości kilku pierwszych i ostatnich znaków.
Podczas transakcji zwykła procedura polega na kopiowaniu i wklejaniu adresu. Wielu dostawców portfeli, w tym MetaMask, oferuje funkcję kopiowania adresu jednym kliknięciem.
Zatruwanie adresów wykorzystuje nieuwagę użytkowników na tym etapie procesu transakcji. W szczególności oszuści obserwują i śledzą transakcje dotyczące określonych tokenów, przy czym zwykle celem są monety typu stablecoin. Następnie, korzystając z generatora adresów „próżności”, oszust utworzy adres, który będzie ściśle odpowiadał adresowi docelowemu, zwłaszcza kilka pierwszych i ostatnich znaków.
Oszust wysyła transakcję o nominalnej wartości z nowo wygenerowanego adresu na adres docelowy; w tym momencie ten ostatni zostaje zatruty.
W przyszłości, chcąc wysłać transakcję, użytkownik może omyłkowo skopiować niewłaściwy adres na podstawie znajomości kilku pierwszych i ostatnich znaków. Po wykonaniu środki trafiają do oszusta.
„A ponieważ takie transakcje w łańcuchu są niezmienne (nie można ich zmienić po potwierdzeniu), utracone środki będą nieodwracalne”.
MetaMask wyjaśnia, jak zachować bezpieczeństwo
Niestety charakter publicznych łańcuchów bloków oznacza, że każdy, w tym oszuści, może wysyłać transakcje na dowolny adres, jeśli sobie tego życzy.
MetaMask powtórzył, jak ważne jest sprawdzanie każdego znaku adresowego podczas wysyłania środków, a nie tylko kilku pierwszych i ostatnich.
„Wyrób sobie nawyk dokładnego sprawdzania każdy znak adresu przed wysłaniem transakcji. To jedyny sposób, aby mieć całkowitą pewność, że wysyłasz we właściwe miejsce”.
Inne strategie, aby uniknąć stania się ofiarą zatrucia adresu, obejmują niewykorzystywanie historii transakcji do kopiowania adresów, umieszczanie na białej liście często używanych adresów, aby całkowicie uniknąć kopiowania i wklejania, oraz wykorzystywanie transakcji testowych, zwłaszcza przy przekazywaniu dużych kwot.
Źródło: https://cryptoslate.com/metamask-warns-of-address-poisoning-wallet-scam/