Ang Ethereum Wallet Drainer ay Nagnanakaw ng $60M sa Anim na Buwan

Ang mga hacker na nagnakaw ng higit sa $60 milyon na halaga ng Crypto sa loob ng anim na buwan ay gumagamit ng isang piraso ng code upang i-bypass ang mga alerto sa seguridad pagkatapos malisyosong makakuha ng access sa mga pribadong key, ayon sa on-chain sleuth ScamSniffer.

Ang mga wallet drainer ay maling ginagamit ang Create2, isang piraso ng code na ginagamit ng mga tulad ng Uniswap upang mahulaan ang address ng isang kontrata bago ito i-deploy sa Ethereum network.

Sa maling paggamit ng Create2, ang mga wallet drainer ay maaaring agad na lumikha ng mga pansamantalang address ng wallet upang makatanggap ng mga pondo pagkatapos mag-click ang isang user sa isang malisyosong lagda. Kapag nagpadala ang mga user ng mga pondo o nakipag-ugnayan sa isang matalinong kontrata, ipo-prompt sila na "aprubahan" ang isang pirma, kadalasang nagkukunwari ang mga hacker ng mga pahintulot sa loob ng lagdang ito upang makakuha ng access sa wallet ng isang user.

Ang paggamit ng Create2 ay nilalampasan ang mga alerto sa seguridad na karaniwang nagbibigay babala sa isang user bago pumirma sa lagda.

Tinatantya ng pananaliksik mula sa ScamSniffer at SlowMist na $60 milyon ang ninakaw mula sa humigit-kumulang 99,000 biktima sa nakalipas na anim na buwan.

ONE grupo ang gumagamit ng Create2 code para magnakaw ng $3 milyon mula sa 11 biktima mula noong Agosto.

Ang mga hack at pagsasamantalang nauugnay sa Cryptocurrency ay naging laganap sa mga nakalipas na buwan sa exchange Poloniex nawalan ng $114 milyon sa isang HOT wallet breach noong nakaraang linggo. Natalo rin ang mga biktima ng paglabag sa LastPass $4.4 milyon sa isang araw sa Oktubre.