交易所冻结恶意地址的延迟
根据AMLBot的一份新报告,交易所宣布将冻结恶意地址所持有的USDT与实际冻结执行之间存在“显著延迟”。该报告指出,Tether的USDT稳定币在链上冻结执行方面进展缓慢。因此,反洗钱公司AMLBot表示,自2017年以来,至少有7800万美元被以太坊和波场上的不法分子盗走。
洗钱漏洞与多重签名合约
AMLBot在报告中解释称,洗钱漏洞是由Tether多重签名合约设置所造成的。冻结请求必须在链上发送,并且需要多个签名才能批准,这导致执行冻结时出现了“机会窗口”,使不法分子可以在其地址被冻结之前转移资金。
实际案例及资金损失
报告中提供的一个示例展示了在波场网络上,从冻结请求到确认之间存在44分钟的延迟。
AMLBot声称,自2017年以来,由于该漏洞,波场网络上的不法分子已提取了4960万美元的资金。在这段延迟期间,恶意钱包最多可以执行三笔交易,其中4.88%的黑名单钱包利用了这一延迟。
同时,该公司发现,在相同时间框架内,以太坊也被提取了2850万美元的USDT。因此,在这两个区块链上,总损失达7810万美元。
安全公司的审查与建议
安全公司PeckShield审查了该报告并确认漏洞的确存在。“这并不一定表明合约本身存在问题,而是由于操作上的问题,导致了黑名单事务的提交与执行之间的时间窗口,”PeckShield的发言人向Decrypt表示。“鉴于该问题涉及安全敏感性,显然需要改进。”
Tether与不法分子的对抗
Tether是市场上最大的稳定币USDT的发行者,旨在将其价格与美元挂钩。该公司会将与非法活动相关的地址列入黑名单,例如与今年价值14亿美元的Bybit黑客事件有关的钱包。被列入黑名单意味着该地址不能转移Tether发行的资产,实际上使这些代币失去了价值。
然而,AMLBot认为不法分子正是利用了上述延迟,并正在研发相应的工具进行利用。”可以通过编程监控区块链上特定合约的交互,特别是与冻结请求相关的submitTransaction调用,”AMLBot的首席执行官Slava Demchuk对Decrypt表示。“这些机器人可以在冻结被启动但尚未执行的瞬间提醒钱包持有者。”
“尽管我们并未直接观察到这些机器人,但链上行为强烈表明存在自动化的可能性,”他补充道。
PeckShield警告称,这种延迟是多重签名账户设计的固有属性。简单来说,尽管在某些情况下为了增强安全性需要多方签名,但处理多个签名事务总是需要时间。
该公司建议Tether可以将冻结请求和签名整合到一个事务中,以消除这一时间窗口。
Tether在发稿时未能回复Decrypt的评论请求,本文将在收到回复后进行更新。
