Questa settimana si è verificato un raro colpo di scena positivo nel settore delle criptovalute: un utente ha recuperato i propri fondi dopo aver perso 100 ETH a causa di un bug del portafoglio.
La ripresa è dovuta all'azione del team Safe Wallet e alla lungimiranza degli sviluppatori white-hat di Protofire.
100 ETH persi a causa di un bug nel portafoglio, poi recuperati con uno straordinario salvataggio
L'incidente si è verificato quando l'utente di lunga data di Ethereum khalo_0x su X (Twitter) ha tentato di collegare 100 ETH dalla rete principale di Ethereum alla blockchain di base . Ha utilizzato l'interfaccia ufficiale Safe Wallet Bridge.
Ai tassi attuali, con ETH scambiato a $ 2.635 al momento in cui scrivo, questo trasferimento valeva oltre $ 263.500.
A sua insaputa, un bug critico nell'esperienza utente all'interno dello strumento bridge ha consentito il trasferimento a un portafoglio di smart contract che sembrava essere il suo.
Tuttavia, questo portafoglio era controllato da un'entità diversa.
La causa del problema risiedeva nell'utilizzo da parte di Khalo di una versione obsoleta di Safe (v1.1.1), distribuita nel 2020. Questa versione legacy era precedente alle considerazioni multichain e non includeva le protezioni che ora sono standard nelle versioni più recenti.
Di conseguenza, un aggressore, o almeno così sembrava inizialmente, aveva precedentemente distribuito una copia dell'indirizzo del portafoglio di Khalo su Base, ma con una configurazione del proprietario diversa. In questo modo, ha di fatto dirottato i fondi non appena sono stati trasferiti.
"Ho perso i miei risparmi di una vita con un solo clic usando Safe ieri sera. Questo dopo 8 anni passati a detenere ETH evitando truffe. Un bug UX nella funzionalità ufficiale del Bridge implicava che l'indirizzo di destinazione fosse la mia Safe in Base. Non lo era", si è lamentato Khalo in un post.
Il tweet ha attirato l'attenzione della comunità crypto, incluso il team Safe. Il costruttore Tschubotz.eth ha indagato e ha scoperto che l'indirizzo Base che controllava l' ETH collegato non era affatto dannoso.
Una versione obsoleta del wallet ha aperto le porte all'exploit cross-chain
Al contrario, era stato implementato da Protofire, un'azienda di sviluppo white-hat che aveva distribuito in modo proattivo centinaia di wallet Safe v1.1.1 su Base per impedire agli aggressori black-hat di fare lo stesso.
"A differenza degli EOA (Externally Owned Account), gli smart account come Safe sono gestiti dal codice smart contract distribuito. Tecnicamente è possibile distribuire uno smart account con la stessa configurazione di distribuzione (stessi firmatari) su catene diverse allo stesso indirizzo (utilizzando la distribuzione controfattuale)… Ma questo caso era diverso… La versione dello smart account di allora (v1.1.1.) non era ancora stata scritta pensando al multichain, quindi chiunque poteva distribuire uno smart account su una catena diversa con una configurazione completamente diversa allo stesso indirizzo", ha spiegato il co-fondatore di Safe, Lukas Schor.
Dopo aver verificato l'identità di Khalo, Protofire ha prontamente restituito l'intero importo di 100 ETH. Un trasferimento completo è avvenuto con successo in seguito a una transazione di prova, risolvendo la crisi poche ore dopo il suo inizio.
"Questa è una delle storie più belle sulle criptovalute che abbia letto ultimamente", ha affermato Haseeb Qureshi, Managing Partner di Dragonfly.
L'incidente evidenzia l'urgente necessità di migliori misure di sicurezza per gli utenti, man mano che i portafogli crittografici avanzano negli ecosistemi multichain.
La versione aggiornata di Safe v1.2.0 include ora protezioni contro questo tipo di exploit modificando il modo in cui il salt CREATE2 viene calcolato durante la distribuzione del contratto.
Anche lo strumento bridge è stato aggiornato per generare avvisi se all'indirizzo di destinazione è presente un codice di smart contract in conflitto.
Tuttavia, l'incidente è un serio promemoria del fatto che gli utenti restano vulnerabili a bug subdoli e non evidenti.
"…siamo ancora a un punto in cui ci si aspetta che gli utenti effettuino transazioni di prova prima di spostare fondi più ingenti", ha aggiunto Schor.
Nonostante il trauma iniziale, la storia di Khalo si è conclusa con il recupero dei suoi fondi.
Il post Come un utente di criptovalute ha recuperato 100 ETH persi a causa di un bug nel portafoglio è apparso per la prima volta su BeInCrypto .