SlowMist раскрыла способ атаки на биржи с помощью ошибки депонирования

Что произошло? Специалисты фирмы в сфере безопасности блокчейна SlowMist рассказали об атаках на централизованные криптобиржи (CEX) с использованием ложного пополнения счета. Такой тип атак задействует уязвимости или системные ошибки при обработке платформой депозитных операций. Хакеры отправляют поддельные данные о транзакциях на адреса кошельков биржи, которые та ошибочно идентифицирует как легитимные запросы, зачисляя цифровые активы или фиат на счет.

Отчет компании

Что еще известно? Специалисты подчеркнули, что с помощью подобной атаки злоумышленники получают цифровые активы без оплаты, принося убытки биржам.

Сам процесс пополнения счета на бирже состоит из нескольких этапов, включая генерацию и присвоение пользователю уникального адреса кошелька, синхронизацию узлов биржи с другими узлами сети для обновления данных о статусе блокчейна и транзакциях, а также подтверждение внесения депозита за счет одобрения транзакции в блокчейне майнерами/валидаторами.

По словам экспертов, биржи являются главными мишенями для хакеров. Несмотря на то, что они защищают сервера несколькими системами безопасности и предлагают автономное хранение для основных сервисов управления средствами, вредоносные транзакции не блокируются из-за требований блокчейн-системы к целостности данных.

В США завели первое в истории уголовное дело за взлом смарт-контракта

Атака на биржу на базе блокчейна Solana была совершена в июле 2022 года

Читать дальше

В SlowMist подчеркивают, что атаки с использованием ложных депозитов не говорят о наличии уязвимостей в каком-либо блокчейне. Вместо этого злоумышленники используют определенные характеристики блокчейна для создания специальных транзакций, которые биржа распознает как легитимные или же обрабатывает один и тот же запрос на депонирование несколько раз.

С 2018 года компания зафиксировала несколько подобных атак использованием BTC, ETH, EOS, XRP, FIL, TON и стейблкоинов USDT.

Ранее специалисты Unciphered нашли способ физического взлома аппаратного кошелька от производителя Trezor модели Trezor T. А в «Лаборатории Касперского» описали случай подделки аппаратного криптокошелька, с которого злоумышленники смогли вывести средства жертвы.