კრიპტოვალუტის სამყაროში ახალი საფრთხის, „address poisoning“-ის საპასუხოდ, Binance-ის უსაფრთხოების ჯგუფმა შეიმუშავა უნიკალური ალგორითმი ამ თაღლითური სქემის აღმოსაჩენად და მის წინააღმდეგ საბრძოლველად.
როგორ მუშაობს „address poisoning“?
ერთი შეხედვით, ეს სქემა შეიძლება ძალიან მარტივი ჩანდეს იმისთვის, რომ ეფექტიანი იყოს. თუმცა, სინამდვილეში, ბევრი ადამიანი ხდება მისი მსხვერპლი, განსაკუთრებით მაშინ, როდესაც ის ფართო მასშტაბით გამოიყენება. ტრეიდერმა ცოტა ხნის წინ დაკარგა 68 მილიონი დოლარი კრიპტოვალუტაში, ერთ ტრანზაქციაში „მისამართის მოწამვლის“ გამო. ეს ხაზს უსვამს ამგვარი თაღლითური სქემების აღმოჩენისა და პრევენციის მნიშვნელობას.
თაღლითები ხშირად იყენებენ საჯარო ბლოკჩეინის გამჭვირვალობას ურთიერთდაკავშირებული მისამართების წყვილის დასადგენად და ერთ-ერთ მათგანს „წამლავენ“. ისინი მიმღების რეგულარულ მისამართზე აგზავნიან მცირე რაოდენობის კრიპტოვალუტის მსგავსი, მაგრამ არა იდენტური მისამართიდან. თაღლითების მიზანია, აიძულონ მსხვერპლი, დააკოპიროს „მოწამლული“ მისამართი შემდეგი ტრანზაქციის დროს, რის შედეგადაც ფული თავდამსხმელის ანგარიშზე გადამისამართდება.
კრიპტოვალუტის საფულის მისამართები შეიძლება შეიცავდეს 42-მდე ალფანუმერულ სიმბოლოს, რაც მომხმარებლებს აფიქრებინებს, სახსრების გადარიცხვისას კოგნიტიური პროცესები შეამცირონ. როგორც წესი, მომხმარებლები ზედმიწევნით ამოწმებენ მისამართის პირველ და ბოლო სიმბოლოებს — განსაკუთრებით, თუ ეს არის მისამართი, რომელთანაც მათ ინტერაქცია უკვე აქვთ. თაღლითები ამით სარგებლობენ, აგზავნიან რა მცირე რაოდენობით კრიპტოვალუტას, NFT-ებს ან უსარგებლო ტოკენებს ხშირად გამოყენებული პარტნიორების მისამართების მსგავსი მისამართებიდან, რათა ეს მისამართები გამოჩნდეს მსხვერპლის ტრანზაქციის ისტორიაში.
საფრთხის მასშტაბები
თაღლითები სკანირებენ საჯარო ბლოკჩეინებს პოტენციური მსხვერპლის მოსაძებნად, ეძებენ მისამართთა წყვილს, რომლებიც ხშირად ურთიერთობენ. მიუხედავად იმისა, რომ მისამართის მოწამვლა შეიძლება მოხდეს ნებისმიერ ბლოკჩეინზე, Ethereum და ქსელები, როგორებიცაა Polygon, Avalanche და BNB Smart Chain, განსაკუთრებით დაუცველია მათი დაბალი ტრანზაქციის საკომისიოების გამო, რაც თაღლითებს საშუალებას აძლევს, განახორციელონ თავიანთი სქემები იაფად და მასობრივად. იმპოსტერული მისამართის გენერატორები, რომლებიც მისამართების ნაწილების დამთხვევის საშუალებას იძლევა, ასევე ხელს უწყობს თაღლითური სქემების შექმნას.
ანტიდოტი Binance-ისგან
იცოდა რა მისამართის მოწამვლის მზარდი საფრთხის შესახებ, Binance-ის უსაფრთხოების ჯგუფმა შეიმუშავა სქემის იდენტიფიცირებისა და წინააღმდეგობის გაწევის მეთოდები. მრავალსაფეხურიანი მიდგომა იწყება ქსელის ჟურნალების ანალიზით, რათა განაცალკეოს ნორმალური ტრანზაქციები საეჭვო ტრანზაქციებისგან, როგორიცაა ნულოვანი ღირებულების ტრანზაქციები ან უცნობი ტოკენები. შემდეგ ისინი აკავშირებენ ამ საეჭვო ტრანზაქციებს ნორმალურთან, გამგზავნისა და მიმღების მისამართების მსგავსების საფუძველზე და ამოწმებენ, რომ ნორმალური ტრანზაქცია საეჭვოზე ადრე იყო გაგზავნილი. ასე ისაზღვრება მოწამვლის მომენტი და ყალბი მისამართები, რომლებზეც თაღლითები ელიან მსხვერპლისგან თანხების მიღებას.
იდენტიფიცირების შემდეგ, ეს მატყუარა მისამართები ჩაიწერება Binance-ის უსაფრთხოების პარტნიორის HashDit-ის Web3 მონაცემთა ბაზაში. ბევრი კრიპტოვალუტის სერვისის პროვაიდერი, როგორიცაა Trust Wallet, იყენებს HashDit API-ს, რათა გააფრთხილოს მომხმარებლები სახსრების ყალბ მისამართზე გადარიცხვის შესაძლებლობის შესახებ. HashDit ასევე გთავაზობთ მორგებულ პროდუქტებს, როგორებიცაა ვებბრაუზერის გაფართოებები და Metamask Snaps, რაც აძლიერებს Binance-ის ძალისხმევას კრიპტო ეკოსისტემაში მოწამლული მისამართების მოსანიშნად.
როგორ დავიცვათ თავი
ბაინანსის თქმით მისამართის მოწამვლის თაღლითობის პრევენცია მოითხოვს ინფორმირებულობისა და პრაქტიკული ზომების ერთობლიობას:
- თანხის გადარიცხვამდე ყოველთვის შეამოწმეთ მიმღების მისამართი და არა მხოლოდ საწყისი და დასასრული სიმბოლოები;
- ხშირი კოპირებისა და ჩასმის თავიდან ასაცილებლად, გამოიყენეთ საფულის ფუნქციები, რათა შეინახოთ უსაფრთხო მისამართები მეტსახელებითა და QR კოდებით;
- გამოიყენეთ სერვისები, როგორიცაა Ethereum Name Service (ENS), უფრო მოკლე, უფრო ცნობადი მისამართების შესაქმნელად, რომელთა გაყალბება უფრო რთულია;
- დიდი თანხების გადარიცხვისას, ჯერ გაგზავნეთ მცირე თანხა, რათა დარწმუნდეთ, რომ მიმღების მისამართი სწორია. ზოგიერთ პროგრამას შეუძლია შეცვალოს ბუფერის შინაარსი. ყოველთვის შეამოწმეთ მისამართი ჩასმის შემდეგ ან ხელით შეიყვანეთ რამდენიმე სიმბოლო.
[შეკვეთილი კონტენტი]
