Согласно анализу от 9 февраля, компания Blowfish, занимающаяся безопасностью Web3, обнаружила два новых дрейнера для сбора данных Solana, которые могут выполнять атаки с переворотом битов.
Дрейнеры, известные как Aqua и Vanish, были отмечены как изменяющие условие внутри ончейн-данных даже после того, как для подписи транзакции использовался закрытый ключ пользователя. По данным Blowfish, скрипт дрейнеров доступен для покупки на торговых площадках, предлагающих инструменты мошенничества как услуги.
Команда Blowfish выяснила метод дрейнеров, позволяющий подтасовать данные и украсть средства.
«В Solana dApp можно предоставить полномочия на отправку транзакции. Если программа dApp включает в себя условие, позволяющее отправить пользователю SOL или опустошить его учетную запись, дрейнер может изменить это условие в любое время», — говорится в анализе.
Дрейнеры Aqua и Vanish поначалу остаются незамеченными для пользователей. Жертва подписывает то, что кажется действительной транзакцией. Однако после получения подписи дрейнер временно удерживает транзакцию.
«Затем, посредством отдельной транзакции, они переворачивают условие dApp, вместо того, чтобы отправить SOL, они принимают его».
Атака с переворотом битов — это форма эксплойта, при которой злоумышленник меняет значение некоторых битов в зашифрованных данных для манипулирования системой. Это позволяет злоумышленнику изменить зашифрованное сообщение, не зная ключа шифрования. Переворачивая определенные биты, злоумышленник иногда может изменить сообщение предсказуемым образом после его расшифровки.
Растущее число крипто-дрейнеров нацелено на экосистему Solana. По данным сервиса Chainanalysis, по состоянию на январь одно из крупнейших онлайн-сообществ, посвященных одному набору для дрейна кошельков Solana, насчитывало более 6000 участников. Брайан Картер, старший аналитик разведки Chainalysis, рассказал в интервью, что наиболее успешные комплекты для дрейна могут быть нацелены на множественные активы различными способами.
Сообщается, что команда Blowfish установила защиту для автоматической блокировки недавно обнаруженных дрейнеров и отслеживает активность в сети.
Читайте также: