60 milhões de dólares foram roubados devido a falha em função do Ethereum
Uma falha na forma como uma função da rede Ethereum se encontra desenvolvida terá ajudado um grupo de atacantes a roubarem quase 60.000.000 dólares de quase 99.000 vitimas, durante um período de apenas seis meses. A falha encontra-se sobre a função “Create2” da rede, a qual aparenta possuir uma falha que pode ser explorada para alguns ataques.
A descoberta da falha foi realizada por “Scam Sniffer”, o qual afirma ter verificado grupos a explorarem a mesma em carteiras ativas. Uma das vítimas analisadas terá perdido quase 1.6 milhões de dólares derivado da falha.
A função Create2 encontra-se integrada no código do Ethereum, tendo sido introduzida com a atualização “Constantinople”. Esta permite que sejam criados smart contracts dentro da blockchain. Ao contrário do Create original, que criava endereços tendo como base o endereço da carteira do criador, o Create2 permite que os mesmos endereços sejam calculados antes da sua implementação no contrato. É uma ferramenta poderosa para os programadores Ethereum, permitindo interações contratuais avançadas e flexíveis, pré-cálculo de endereços de contratos baseados em parâmetros, flexibilidade de implementação, adequação a transações fora da cadeia e a determinados dApps.
No final, o Create2 conta com vários benefícios para os utilizadores da blockchain, e para programadores. Teoricamente, deveria também fornecer mais segurança, mas parece que não é exatamente o caso.
De acordo com o investigador responsável pela descoberta da falha, o Create2 pode ser abusado para criar endereços de contratos sem qualquer histórico de atividades maliciosas, que permite contornar alguns dos sistemas de alertas de segurança que diferentes plataformas integram em contratos conhecidos como sendo de esquemas ou roubos. Quando uma vítima assina uma transação maliciosa, o atacante implementa um contrato no endereço pré-calculado e transfere os ativos da vítima para esse endereço, um processo não reversível. Num caso recente observado pelos analistas, uma vítima perdeu $927.000 em GMX depois de ter sido induzida a assinar um contrato de transferência que enviava os ativos para um endereço pré-calculado.
O segundo tipo de abuso do Create2 consiste em gerar endereços semelhantes aos endereços legítimos que pertencem ao destinatário, enganando assim os utilizadores para que enviem bens para os autores das ameaças, pensando que os estão a enviar para um endereço conhecido. O esquema, denominado “envenenamento de endereços”, envolve a geração de um grande número de endereços e, em seguida, a seleção daqueles que correspondem às suas necessidades específicas de phishing para enganar os seus alvos.
Desde Agosto de 2023, o responsável pela descoberta, “Scam Sniffer”, afirma ter identificado pelo menos 11 vitimas que terão perdido quase 3 milhões de dólares em ETH derivado deste formato de ataque. Apesar de ser complicado atribuir as perdas exatas que terão sido feitas com base na exploração desta falha, o investigador aponta que terão sido roubados mais de 60.000.000 de dólares de quase 99.000 carteiras ou vítimas diferentes.