La società di sicurezza blockchain SlowMist ha fatto luce su alcune vulnerabilità di sicurezza con scambi centralizzati e su come gli hacker li utilizzano per condurre falsi attacchi di deposito.
Mentre la tecnologia blockchain è agli inizi, gli hacker stanno sviluppando tecniche sofisticate per sottrarre fondi a progetti e utenti.
Come gli scambi depositano fondi nel portafoglio degli utenti
Quando viene effettuato un deposito su uno scambio di criptovalute centralizzato, ci sono vari passaggi prima che l'importo venga accreditato all'indirizzo degli utenti. L'infografica di seguito mostra questi passaggi, a partire dalla richiesta di deposito e dalla generazione di un portafoglio univoco per l'utente.
Tuttavia, gli hacker stanno ingannando il processo inviando transazioni contraffatte che lo scambio identifica come depositi autentici. SlowMist ha condiviso un esempio di "TON Bounce-back False Top-up".
Caso di studio dell'attacco di deposito falso in TON
Gli hacker hanno sfruttato le vulnerabilità nella transazione per depositare Toncoin ( TON ), un progetto della piattaforma di messaggistica Telegram.
Lo screenshot seguente mostra una transazione che utilizza l'interfaccia RPC . Generalmente, gli scambi centralizzati verificheranno se l'indirizzo di deposito degli utenti è menzionato nella "destinazione" della proprietà "in_msg".
Dai un'occhiata al nostro articolo su 9 suggerimenti per la sicurezza del portafoglio crittografico per salvaguardare le tue risorse
Tuttavia, se gli scambi non notano la proprietà "out_msgs", potrebbero accreditare i conti degli utenti con fondi senza ricevere il deposito. In parole povere, la proprietà "out_msg" rimborserebbe i fondi sul suo conto di origine.
SlowMist ha anche condiviso le migliori pratiche per evitare falsi attacchi di deposito:
- Meccanismo di conferma multipla per evitare di cadere nella trappola di un falso attacco di deposito
- Corrispondenza rigorosa delle transazioni per garantire che la transazione corrisponda al normale modello di transazione
- Un sistema di controllo del rischio in grado di rilevare transazioni dannose.
- Revisione manuale per depositi più grandi e per ridurre l'affidabilità del sistema.
- Miglioramento della sicurezza delle API per impedire a malintenzionati di accedere al sistema
- Restrizioni temporanee sui prelievi dopo che il portafoglio di un utente riceve un deposito.
- Regolari aggiornamenti di sicurezza per correggere eventuali vulnerabilità.
Hai qualcosa da dire sul falso attacco di deposito o altro? Scrivici o unisciti alla discussione sul nostro canale Telegram . Puoi anche trovarci su TikTok , Facebook o X (Twitter).
Per l'ultima analisi di Bitcoin (BTC) di BeInCrypto , fai clic qui .
Il post How Hackers Exploit Vulnerabilities in Centralized Exchanges With False Deposit Attacks è apparso per la prima volta su BeInCrypto .