GUA Przejęcie kryptowaluty

🚨 Przejęcie o wartości około 15 milionów dolarów… a powód nie był skomplikowaną luką w blockchainie, lecz błędem zaufania i recenzji ludzkiej!
Projekt kryptowaluty #gua  doznał poważnego ataku, który doprowadził do kradzieży około 14,98 miliona tokenów GUA, o wartości szacowanej na około 15,2 miliona dolarów w momencie zdarzenia.
$GUA 
Napastnik nie tylko ukradł, ale także sprzedał całą ilość bezpośrednio w sieci (On-Chain), co spowodowało gwałtowny i szybki spadek ceny kryptowaluty, a następnie przekazał dochód na 2,784 ETH i rozdzielił je na kilka różnych portfeli.
Ciekawe w tej historii jest to, że atak nie polegał na złamaniu szyfrowania ani na włamaniu się do samego blockchaina.
Zgodnie z krążącymi informacjami, napastnik wykorzystał mieszankę:
• Manipulacja interfejsem użytkownika (UI Tampering)
• I błąd ludzki podczas przeglądania adresów
 Jak udał się atak?
Napastnik wykorzystał dużą moc obliczeniową, aby stworzyć ogromną liczbę adresów portfeli, aż w końcu uzyskał adres, który bardzo przypominał adres legalnego kontraktu Airdrop.
Adres legalny:
0x70ae...5c15
Adres portfela złośliwego:
0x70AE...5C15
 Problem polega na tym, że niektóre przeglądy opierały się tylko na sprawdzeniu pierwszych i ostatnich znaków adresu, zamiast na jego pełnym zweryfikowaniu.
I gdy transakcja otrzymała wymagane podpisy w systemie Multi-Signature, aktywa zostały wysłane do adresu napastnika na stałe i nieodwracalnie.
 Lekcja bezpieczeństwa tutaj jest bardzo ważna:
W świecie kryptowalut poleganie na:
✔ Pierwsze 4 znaki
✔ I ostatnie 4 znaki
Samo sprawdzenie adresów już nie wystarcza.
Napastnicy stali się zdolni do generowania wizualnie podobnych adresów, aby oszukiwać użytkowników, a nawet profesjonalne zespoły.
 Jak można zminimalizować ten rodzaj ryzyka?
• Sprawdzenie pełnego adresu przed podpisaniem
• Użycie zaufanej książki adresowej dla wrażliwych adresów
• Przeglądanie transakcji przez więcej niż jedną osobę w sposób niezależny
• Użycie narzędzi, które wyraźnie pokazują różnice między adresami
• Nie polegaj tylko na szybkim wzrokowym sprawdzeniu
 Incydent przypomina nam o ważnej prawdzie:
Czasami największe straty w świecie Crypto nie wynikają z skomplikowanej luki technicznej...
ale przez kilka sekund pośpiechu podczas przeglądu.
#CyberSecurity #CryptoSecurity #Blockchain #Ethereum #InfoSec #Web3
#KhlyBalakSecurity 