Независимый ончейн-исследователь ZachXBT раскритиковал планируемый запуск Phantom Chat — встроенного мессенджера криптокошелька Phantom, назвав его потенциально «новым инструментом для кражи средств у пользователей».
По словам блокчейн-сыщика, Phantom до сих пор не устранил уязвимость, связанную с так называемым «отравлением адресов». ZachXBT напомнил о недавнем инциденте, в результате которого пользователь потерял 3,5 wBTC, скопировав адрес мошенника из истории транзакций. Проблема, по его утверждению, заключается в том, что интерфейс Phantom не фильтрует спам-операции, из-за чего поддельные адреса отображаются рядом с легитимными. Злоумышленники намеренно подбирают первые символы адреса так, чтобы они совпадали с предыдущей корректной транзакцией.
В декабре Phantom начал тестирование функции чата, разработанной совместно с платформой прогнозов Kalshi. ZachXBT опасается, что обмен сообщениями внутри кошелька создаст дополнительную поверхность для атак: мошенники смогут выдавать себя за надежных собеседников и рассылать вредоносные ссылки прямо в интерфейсе приложения.
Механизм атак с отравлением адресов заключается в создании кошельков, частично совпадающих с адресами жертв. После этого злоумышленники отправляют небольшие суммы токенов, добавляя поддельные адреса в историю транзакций. Поскольку большинство пользователей не запоминают полный адрес кошелька и ориентируются лишь на первые и последние символы, риск ошибочного копирования существенно возрастает. Для сравнения, биткоин-адреса содержат от 26 до 35 символов, а адреса в сети Ethereum — 42 символа.
По данным платформы по блокчейн-безопасности Scam Sniffer, в декабре в результате подобной атаки неназванный инвестор потерял $50 млн, а в январе другой пользователь перевел на поддельный адрес $12,2 млн.
источник
уникальность
