.
Os pesquisadores da Infosec estão observando o aumento dos ataques às criptomoedas e incentivaram os provedores de segurança de carteira a melhorar seu jogo coletivo.
A Check Point cita especificamente o crescimento de ataques que abusam do opcode CREATE2 da Ethereum, apelidando-o de um “problema crítico na comunidade blockchain” que está vendo milhões de dólares em ativos sendo drenados das carteiras das vítimas.
Introduzido em 2019, o CREATE2 é visto como um avanço significativo para Ethereum, permitindo implantações mais eficientes de contratos inteligentes – a tecnologia que valida transações no blockchain.
CREATE2 também é a função que está sendo explorada por invasores para drenar tokens das carteiras das vítimas.
Uma de suas principais capacidades é a capacidade de implantar contratos inteligentes em endereços pré-determinados, tornando todo o processo mais previsível para o blockchain ao lidar com múltiplas interações contratuais em todo o ecossistema de aplicações descentralizadas.
Por pré-determinado, significa que um invasor pode criar endereços temporários e de uso único para receber os ativos da vítima. Novos endereços podem ser usados para cada ataque, e isso é crucial porque os provedores de segurança de carteira dependem de dados mantidos anteriormente para sinalizar transações potencialmente maliciosas. Se o endereço não tiver histórico duvidoso, é provável que a transação evite essas detecções.
O fato de os invasores poderem estabelecer um contrato antes de implementá-lo (antes mesmo de ele existir), usando um endereço de carteira que não tenha histórico de atividades maliciosas, significa que, se conseguirem fazer com que a vítima aprove um contrato, poderão drenar seu fundos.
É claro que isso requer alguns truques de engenharia social para funcionar, mas todos nós já ouvimos sobre histórias de golpes da vida real que parecem selvagens demais para serem verdade, mas são. Esse ataque funciona e facilitou enormes golpes de transação única nos últimos tempos.
Os pesquisadores destacaram uma fraude em janeiro que viu os invasores roubarem US$ 3,6 milhões em tokens SuperVerse de uma só vez, como um exemplo de quão sérios esses incidentes podem ser para as vítimas.
Lembre-se: com blockchains, não há recurso legal nem linha de apoio ao cliente para recuperar fundos. Depois de enviados e assinados, pronto – os tokens desaparecem para sempre.
Como funcionam e por que funcionam
O fluxo de ataque é o seguinte. Primeiro, um invasor precisa fazer com que a vítima aprove um contrato que ainda não foi implementado – a parte que requer engenharia social. Eles então usam a capacidade do CREATE2 para gerar novos endereços de contrato para receber os fundos e implantar o contrato malicioso, completo com a autorização da vítima, drenando, por sua vez, a carteira da vítima.
A parte principal aqui é a geração de um novo endereço de carteira, que não tenha histórico de denúncia por intenções criminosas. CREATE2 gera isso usando um cálculo que inclui quatro parâmetros: o endereço da carteira do invasor, um prefixo constante, um salt e um código de inicialização.
Este endereço será criado apenas quando a vítima aprovar o contrato, o que significa que nunca foi usado antes para quaisquer transações ilícitas e não será usado novamente, contornando assim as proteções de segurança que normalmente monitoram tais transações.
“A exploração da função CREATE2 sublinha a batalha contínua entre inovação e segurança na esfera blockchain”, afirmaram os investigadores da Check Point Oded Vanunu, Dikla Barda e Roman Zaikin.
“À medida que o Ethereum continua a evoluir, também devem evoluir os mecanismos de segurança projetados para proteger os usuários contra ataques tão sofisticados. Conscientização e educação são os primeiros passos para proteger os ativos digitais contra ameaças emergentes. Os desenvolvedores e usuários do Blockchain devem permanecer vigilantes, atualizando continuamente seus conhecimentos. e práticas de segurança para navegar com segurança neste cenário em constante mudança.
“Esta vulnerabilidade destaca a necessidade de medidas de segurança aprimoradas em produtos de segurança de carteira para se adaptarem à evolução das táticas dos cibercriminosos, garantindo a proteção dos ativos digitais diante de explorações inovadoras.”
O grande negócio dos ataques criptográficos
No final de 2023, vimos uma série de ataques de alto perfil que drenam carteiras, rendendo aos cibercriminosos somas pesadas, e os ataques também não foram localizados apenas no blockchain Ethereum.
Justin Sun, fundador da Fundação Tron e proprietário da Poloniex, uma exchange de criptomoedas que teve cerca de US$ 120 milhões drenados em novembro, ofereceu uma recompensa aos invasores na época para devolverem os fundos que roubaram.
O Projeto Monero também foi misteriosamente drenado de quase meio milhão de dólares poucos dias antes, e 5.000 usuários da Carteira Atômica foram drenados no início do ano – apenas alguns dos incidentes de alto perfil que ocorreram em 2023.
Embora nem todos estes tenham sido diretamente atribuídos às explorações do CREATE2, os pesquisadores disseram O registro que parece que a gangue Lazarus, patrocinada pelo Estado da Coreia do Norte, pode ter estado por trás de uma proporção considerável deles.
O provedor de soluções anti-scam da web3, ScamSniffer, analisou uma série de incidentes CREATE2 entre maio e novembro de 2023, concluindo que quase US$ 60 milhões foram roubados de cerca de 99.000 vítimas. ®
.
