Coinbase cüzdanı ve diğer merkezi olmayan kripto uygulamaları (DAPP), kötü niyetli akıllı sözleşme davranışını güvenlik özelliklerinden gizlemek için kullanılabilecek bir yöntem olan "kırmızı hap saldırılarına" karşı savunmasız olduğu bulunmuştur.
Coinbase, kullanıcıların Bitcoin, Ethereum ve ERC-20 jetonları da dahil olmak üzere platformdan satın alabilecekleri çok çeşitli dijital varlıkları depolamaları, yönetmeleri ve etkileşime girmeleri için bir kripto cüzdan uygulaması sunan önde gelen bir kripto para birimidir.
Zengo Cüzdan'daki güvenlik araştırmacıları, Coinbase cüzdanı da dahil olmak üzere DAPP'lerin akıllı sözleşmelerin işlem simülasyonları sırasında kötü niyetli davranışları gizlemesine izin veren yeni bir saldırıya karşı savunmasız olduklarını keşfetti. Bu, kullanıcının bir işlemin güvenli olacağına inanmasına neden olur ve devam etmesine izin verir, ancak daha sonra akıllı sözleşmenin varlıklarını çaldığını öğrenir.
Güvenlik açığı, o zamandan beri bildirilen güvenlik sorunlarını ele alan ve Zengo Cüzdanı'nı sorumlu ifşa ettikleri için birden fazla böcek ödülünü veren Coinbase'e açıklandı.
Web3 Akıllı Sözleşmeler, bir kripto para birimi gerçekleştiğinde otomatik olarak yürütülecek ve geliştiricilere web siteleri ve kripto varlıkları için çok çeşitli işlevsellik sağlayan programlardır.
Örneğin, akıllı sözleşmeler, bir ödeme alındıktan sonra birine bir NFT göndermek için kullanılabilir, "vergi" kullanıcıları, satın aldıktan sonra çok kısa bir süre sonra bir varlık sattıkları veya işlemlere dayalı bir web sitesine otomatik olarak içerik yazmak için kullanılabilir. Temel olarak, programlanabilecek her şey akıllı sözleşme tarafından yürütülebilir.
Bununla birlikte, tehdit aktörleri, gönderilen kriptoyu çalmak veya bir varlık cüzdanını boşaltmak için kullanılarak kötü niyetli nedenlerle akıllı sözleşmeleri de kullanırlar.
Bu kötü niyetli sözleşme imzalama taleplerini meşru olanlardan ayırt etmek zordur, bu da kripto para sahiplerinin tehlikelerde gezinmesini zorlaştırır.
Bu saldırıları önlemek için DAPPS geliştiricileri, bir işlem imzalamayı taklit etmek ve kullanıcı onaylamadan önce sonucu tahmin etmek için simüle edilmiş işlem çözümleri getirdiler. Bu simülasyonların sonucu daha sonra kullanıcıya sunulur ve ne olacağını görmelerine izin verir ve işlemin devam etmesine izin verip vermediklerine karar verir.
Bununla birlikte, Zengo cüzdan raporunun vurguladığı gibi, bazı kötü niyetli akıllı sözleşmeler simüle edildiklerini tespit edebilir ve hedefe iyi huylu veya kârlı görünmek için orijinal davranışlar gösterebilir ve dolayısıyla Web3 emülasyon güvenlik sistemini kandırabilir.
Analistler, tehdit aktörlerinin simüle edildiğinde davranışlarını değiştirmek için kötü niyetli sözleşmelerde “kırmızı haplar” uygulayabileceklerini ve gerçekte onaylandığında hedeflerden para çalabileceğini açıklıyor.
Bu saldırı, simülasyonlar sırasında "güvenli" verilerle akıllı bir sözleşmedeki değişkenleri doldurarak ve daha sonra canlı bir işlem sırasında "kötü niyetli" verilerle değiştirilerek gerçekleştirilir. Bu, bir simülasyonun simülasyon sırasında akıllı bir sözleşmeyi güvenli bir şekilde göstermesine neden olur, ancak canlı bir işlem sırasında kullanıcıların kriptolarını çalar.
““ Coinbase ”talimatı mevcut blok madencisinin adresini içerir. Simülasyon sırasında gerçek bir blok olmadığından ve dolayısıyla madenci olmadığından, bazı simülasyon uygulamaları onu NULL adresine (tüm sıfır adresi) ayarladı ”diye açıklıyor Zengo'nun raporu.
“Bu nedenle kötü niyetli bir akıllı sözleşme, bu“ Coinbase ”kırmızı hapı şu şekilde silahlandırabilir: Moksörler sıfırsa (çokgen simülasyon anlamına gelir) kullanıcılardan sözleşmeye bazı yerli para göndermelerini isteyin, sözleşme karşılığında bazı paraları geri gönderecektir. Cüzdanı simüle ettiğinde işlemi kullanıcı için potansiyel olarak kârlı hale getirir. ”
“Ancak, kullanıcı işlemi gerçekten zincirde gönderdiğinde, Coinbase aslında mevcut madencinin sıfır olmayan adresi ile doldurulur ve sözleşme sadece gönderilen paraları alır.”
Araştırmacılar ayrıca bu saldırıyı göstermek için aşağıdaki videoyu yayınladılar.
Simülasyonun, işlem talebini onaylarsa kullanıcının 0.016 Weth (30 $) alacağını gösterdiğine dikkat edin. Ancak, canlı işlemi gerçekleştirirken karşılığında hiçbir şey alamazlar.
Bu “kırmızı hap saldırısı” senaryolarını keşfederek, Zengo Cüzdan altı kripto para cüzdanı Dapps'ı sömürüye karşı savunmasız buldu.
Bunlar Coinbase cüzdanı, Rabby Cüzdanı, Blowfish, Pocketuniverse, yangın uzantısı ve henüz sorunu çözmeyen isimsiz bir uzantı.
Yukarıda belirtilen diğer tüm satıcılar, Zengo Callet’in raporunu aldıktan kısa bir süre sonra işlem simülasyonlarında düzeltmeler yapmışlardır.
Bu saldırının düzeltilmesi, savunmasız değişkenler için keyfi değerler kullanmayı bırakmak, kötü niyetli sözleşmelerde "kırmızı haplar" olarak kullanılmasını önlemektir.
Netgear Orbi yönlendirici güvenlik açıkları için yayınlanan POC istismarları
Windows 11 Snipping Aracı Gizlilik Hatası Kırpılmış Görüntü İçeriğini Gösteriyor
Hitachi Energy, Clop Goany Where saldırılarından sonra veri ihlalini teyit ediyor
Genel bayt bitcoin ATM'ler sıfır gün kullanılarak hacklendi, 1,5 milyon dolar çalındı
Bilgisayar korsanları çoğunlukla 2022'de Microsoft, Google, Apple Zero-Days'i hedef aldı
Kaynak: Bleeping Computer