Menurut data Etherscan, beberapa penipu mata uang kripto menargetkan pengguna dengan teknik baru yang dapat memungkinkan mereka mengonfirmasi transaksi dari dompet korban tanpa memiliki kunci pribadi korban.
Serangan hanya dapat dilakukan pada transaksi dengan nilai nol. Namun, ada kemungkinan beberapa pengguna akan mengirim token ke penyerang secara tidak sengaja sebagai hasil dari pemotongan dan penempelan riwayat transaksi yang dibajak.
SlowMist, sebuah firma keamanan blockchain, menemukan teknik baru ini pada bulan Desember dan mengumumkannya di postingan blog. SafePal dan Etherscan telah menerapkan teknik mitigasi untuk membatasi dampaknya terhadap pengguna sejak saat itu, namun beberapa pengguna mungkin masih tidak menyadari keberadaannya.
Menurut postingan SlowMist, penipu bekerja dengan mengirimkan transaksi nol token dari dompet korban ke alamat yang tampaknya mirip dengan alamat yang sebelumnya dikirim oleh korban.
Baca Juga : Serangan Phishing Pada OpenSea Dapat Menjadi Contoh Bahwa Keamanan Kripto Harus Ditingkatkan
Misalnya, jika korban mengirim 100 koin ke alamat deposit pertukaran, penyerang dapat mengirim nol koin dari dompet korban ke alamat yang tampak serupa tetapi sebenarnya berada di bawah kendali mereka.
Ketika korban melihat transaksi ini dalam riwayat transaksinya, mereka dapat menyimpulkan bahwa alamat yang ditampilkan adalah alamat setoran yang benar. Akibatnya, mereka dapat mengirim koin mereka ke penyerang secara langsung.
Dalam kebanyakan kasus, penyerang memerlukan kunci pribadi korban untuk mengirim transaksi dari dompet korban. Namun, fitur “tab kontrak” Etherscan mengungkapkan bahwa beberapa kontrak token mengandung cacat yang memungkinkan penyerang mengirim transaksi dari dompet mana pun.
Kode untuk Koin USD (USDC) di Etherscan, misalnya, menunjukkan bahwa fungsi “TransferFrom” memungkinkan siapa saja memindahkan koin dari dompet orang lain selama jumlah yang dikirim kurang dari atau sama dengan jumlah yang diperbolehkan oleh pemilik alamat.
Sumber :cointelegraph.com