СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
13 января
#ИБ

Новая тактика кибератак в Web3: манипуляция механизмами предварительного анализа транзакций

Новая тактика кибератак в Web3: манипуляция механизмами предварительного анализа транзакций

Хакеры, действующие в Web3, внедрили новую технику кражи криптовалют, получившую название «имитация транзакций». Этот метод уже позволил злоумышленникам похитить 143,45 Ethereum (около 460 тысяч долларов).

Уязвимость, обнаруженная экспертами ScamSniffer, связана с механизмами предварительного анализа транзакций, встроенными в кошельки Web3 для защиты пользователей.

Как работает предварительный анализ транзакций?

Функция моделирования транзакций в Web3-кошельках позволяет пользователям заранее видеть исход операции до её подтверждения. Она предоставляет информацию о размере перевода, комиссии и изменениях в блокчейне, тем самым снижая вероятность ошибки и предотвращая мошеннические операции.

Как злоумышленники обходят защитные механизмы?

  1. Фишинговый сайт. Жертву перенаправляют на вредоносный ресурс, замаскированный под легитимную платформу.
  2. Создание ложной транзакции. На сайте активируется скрипт, демонстрирующий пользователю ложное зачисление небольшого количества ETH, чтобы создать иллюзию надежности.
  3. Манипуляция временем. Между моментом анализа транзакции и её реальным выполнением злоумышленники вносят изменения в контракт, полностью изменяя исход операции.
  4. Подписание транзакции. Пользователь, доверяя предварительному анализу, подписывает транзакцию, не подозревая, что изменённый контракт перенаправит средства на счет атакующего.

Эксперты ScamSniffer отмечают, что одна из жертв потеряла активы всего через 30 секунд после модификации контракта в сети.

Опасность новой атаки

Этот метод кибератак представляет собой эволюцию фишинговых схем, поскольку злоумышленники не используют традиционные способы социальной инженерии, а эксплуатируют встроенные механизмы безопасности кошельков. Такая техника затрудняет обнаружение угрозы, поскольку пользователи ориентируются на отображаемые системой результаты моделирования.

Возможные меры защиты

Эксперты в области блокчейна рекомендуют несколько ключевых изменений в Web3-кошельках для снижения риска атак:

  • Синхронизация времени моделирования с блоками в сети. Это позволит избежать расхождений между предварительным анализом и фактическим исполнением транзакции.
  • Обязательное обновление результатов моделирования перед подписанием транзакции. Это снизит вероятность успешной манипуляции.
  • Внедрение предупреждений о сроке действия транзакции. Если между анализом и исполнением прошло значительное время, система должна информировать пользователя о потенциальной опасности.

Заключение

Манипуляции с механизмом предварительного анализа транзакций демонстрируют рост сложности атак в Web3-среде. Данная техника представляет серьёзную угрозу как для обычных пользователей, так и для крупных криптовалютных платформ. Для эффективной защиты необходимо оперативное обновление механизмов безопасности Web3-кошельков и повышение осведомлённости пользователей о рисках, связанных с временными окнами в моделировании транзакций.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: