Το πορτοφόλι Coinbase και άλλα decentralized crypto apps (dapps) βρέθηκαν ευάλωτες σε “επιθέσεις red pill”, μια μέθοδο που μπορεί να χρησιμοποιηθεί για την απόκρυψη κακόβουλης συμπεριφοράς έξυπνων συμβολαίων από χαρακτηριστικά ασφαλείας.
Το Coinbase είναι ένα κορυφαίο ανταλλακτήριο κρυπτονομισμάτων που προσφέρει μια εφαρμογή πορτοφολιού κρυπτογράφησης για αποθήκευση, διαχείριση και αλληλεπίδραση με ένα ευρύ φάσμα ψηφιακών περιουσιακών στοιχείων που μπορούν να αγοράσουν από την πλατφόρμα, συμπεριλαμβανομένων των tokens Bitcoin, Ethereum και ERC-20.
Σε μια σοκαριστική ανακάλυψη, οι ερευνητές ασφαλείας του ZenGo Wallet αποκάλυψαν ότι εφαρμογές όπως το Coinbase Wallet ήταν εκτεθειμένες σε μια επίθεση που επέτρεπε κακόβουλη συμπεριφορά σε έξυπνα συμβόλαια κατά τη διάρκεια προσομοιώσεων συναλλαγών. Αυτό προκαλεί την εξαπάτηση των χρηστών που πιστεύουν ότι οι συναλλαγές τους είναι ασφαλείς και επιτρέπει τη συνέχιση της διαδικασίας, ενώ πολύ αργά συνειδητοποιούν ότι τα χρήματά τους έχουν ληφθεί από το πανούργο έξυπνο συμβόλαιο.
Μετά την κοινοποίηση της ευπάθειας στην Coinbase, η εταιρεία αποκατέστησε αμέσως όλες τις ανησυχίες για την ασφάλεια και απένειμε στο ZenGo Wallet πολλά bug bounties για την υπεύθυνη αποκάλυψή της.
Επίθεση στην προσομοίωση
Τα έξυπνα συμβόλαια Web3 είναι επαναστατικά προγράμματα που μπορούν να εκτελούνται αυτόματα όταν πραγματοποιούνται συναλλαγές κρυπτονομισμάτων, παρέχοντας στους προγραμματιστές πληθώρα δυνατοτήτων για τους ιστότοπους και τα ψηφιακά περιουσιακά στοιχεία τους.
Τα έξυπνα συμβόλαια μπορούν να χρησιμοποιηθούν για ποικίλες εργασίες, όπως η αυτόματη αποστολή ενός NFT σε κάποιον μετά την επιτυχή παραλαβή της πληρωμής, η επιβολή “φόρων” στους χρήστες που διαθέτουν το περιουσιακό τους στοιχείο μετά την απόκτησή του και ακόμη και η συγγραφή περιεχομένου σε ιστότοπους ανάλογα με τη συναλλαγή.
Δυστυχώς, όμως, οι χάκερ αξιοποιούν τις έξυπνες συμβάσεις για κακόβουλους σκοπούς, όπως η κλοπή ψηφιακού νομίσματος ή το άδειασμα ενός πορτοφολιού από τα περιουσιακά του στοιχεία.
Μπορεί να είναι δύσκολο να διακρίνει κανείς τα κακόβουλα αιτήματα υπογραφής συμβολαίων από τα αυθεντικά, καθιστώντας πρόκληση για τους κατόχους κρυπτονομισμάτων να παραμείνουν ασφαλείς.
Για την προστασία από αυτές τις κακόβουλες επιθέσεις, οι προγραμματιστές εφαρμογών έχουν αναπτύξει λύσεις προσομοίωσης συναλλαγών. Αυτό προσομοιώνει τι θα συμβεί όταν ένας χρήστης υπογράψει μια συναλλαγή και προβλέπει το αποτέλεσμα πριν δώσει τη συγκατάθεσή του. Το αποτέλεσμα αυτής της προσομοίωσης παρουσιάζεται στη συνέχεια στον χρήστη, ώστε να μπορεί να δει τι θα συμβεί αν επιλέξει να την εγκρίνει, επιτρέποντάς του να λάβει τεκμηριωμένη απόφαση σχετικά με το αν θέλει ή όχι να πραγματοποιηθεί η συναλλαγή.
Ωστόσο, όπως υπογραμμίζει η αναφορά του ZenGo Wallet, ορισμένα κακόβουλα έξυπνα συμβόλαια μπορούν να ανιχνεύσουν πότε προσομοιώνονται και να επιδεικνύουν μη αυθεντική συμπεριφορά ώστε να φαίνεται καλοήθης ή κερδοφόρα για τον στόχο, εξαπατώντας έτσι το σύστημα ασφαλείας εξομοίωσης web3.
Οι ειδικοί έχουν προειδοποιήσει ότι οι εγκληματίες του κυβερνοχώρου μπορούν να αναπτύξουν στρατηγικά σχεδιασμένα “red pills” μέσα σε κακόβουλες συμβάσεις για να αλλάξουν τη συμπεριφορά τους όταν προσομοιάζουν και να πάρουν χρήματα από τα πιθανά θύματα, εάν εγκριθούν στον πραγματικό κόσμο.
Αυτή η καταστροφική μορφή επίθεσης συμβαίνει όταν ένας επιτιθέμενος αντικαθιστά “κακόβουλα” δεδομένα στη θέση των αρχικών, “ασφαλών” μεταβλητών κατά τη διάρκεια μιας live συναλλαγής. Δημιουργεί σκόπιμα ψευδή ασφάλεια εμφανίζοντας το έξυπνο συμβόλαιο ως ασφαλές και αξιόπιστο στο πλαίσιο προσομοιώσεων, αλλά επιτρέπει την κλοπή κρυπτογράφησης από ανυποψίαστους χρήστες κατά τη διάρκεια πραγματικών συναλλαγών.
Μέσω της ενδελεχούς διερεύνησης αυτών των περιπτώσεων επίθεσης “red pill”, το ZenGo Wallet ανακάλυψε ότι έξι dapps πορτοφολιού κρυπτονομισμάτων είναι επιρρεπή σε εκμετάλλευση.
Αυτά είναι το πορτοφόλι Coinbase, το πορτοφόλι Rabby, το Blowfish, το PocketUniverse, το Fire Extension και μια ανώνυμη επέκταση που δεν έχει επιλύσει ακόμη το πρόβλημα.
Όλοι οι άλλοι προμηθευτές που αναφέρονται παραπάνω έχουν εφαρμόσει διορθώσεις στην προσομοίωση συναλλαγών τους λίγο μετά την ενημέρωση από το ZenGo Wallet.
Η λύση για αυτήν την επίθεση είναι να σταματήσει η χρήση αυθαίρετων τιμών για ευάλωτες μεταβλητές, αποτρέποντας τη χρήση τους ως “red pills” σε κακόβουλα συμβόλαια.
Πηγή πληροφοριών: bleepingcomputer.com
 βρέθηκαν ευάλωτες σε "επιθέσεις red pill".){kind=link}