Pagkalugi mula sa On-Chain Scams
Kamakailan, naganap ang isa sa pinakamalaking pagkalugi mula sa mga on-chain scams. Isang address poisoning attack ang nagdulot sa isang gumagamit na mawalan ng halos $50 milyon sa USDT.
Insidente at Reaksyon
Ayon kay Charles Hoskinson, hindi ito mangyayari sa mga arkitekturang mas matatag laban sa mga ganitong pagkakamali. Narito ang nangyari:
Ang Bitcoin at Cardano ay hindi naapektuhan ng insidenteng ito. Ang wallet ng biktima, na aktibo sa loob ng halos dalawang taon at kadalasang ginagamit para sa mga transfer ng USDT, ay nakatanggap ng halos $50 milyon.
Paglalarawan ng Insidente
Nagpadala ang gumagamit ng isang maikling test transaction sa inaasahang tatanggap, na itinuturing ng marami na ligtas na pag-uugali. Ngunit ilang minuto mamaya, ipinadala ang buong halaga. Sa ikalawang transfer, maling address ang ginamit.
Ang scammer ay nagsagawa ng address poisoning attack sa pamamagitan ng pagpapadala ng maliit na halaga ng USDT mula sa isang wallet na dinisenyo upang magmukhang tunay na address na dati nang ginamit ng biktima. Sa maling pagkakaalam, pinili ng biktima ang poisoned address sa halip na ang tamang address nang kinopya nila ito mula sa kasaysayan ng transaksyon. Bilang resulta, $50 milyon ang nawala sa isang click lamang.
Reaksyon ni Charles Hoskinson
“Ito ay isa pang dahilan kung bakit kahanga-hanga ang UTXO,” sabi ni Hoskinson bilang tugon sa insidente.
Hindi siya nagkakamali. Ang account-based model na ginagamit ng Ethereum at maraming iba pang EVM chains ay direktang nagiging sanhi ng ganitong uri ng scam. Ang mga address ay ipinapakita bilang mga free-form strings sa kasaysayan ng transaksyon, at ang mga wallet ay nagtataguyod ng pagkopya mula sa mga nakaraang palitan. Iyon mismo ang sinasamantala ng mga hacker.
Pagkakaiba ng UTXO at Account-Based Models
Ang mga chains tulad ng Bitcoin at Cardano na nakabatay sa UTXO model ay gumagana nang iba. Bawat transaksyon ay gumagawa ng mga bagong output habang kumukonsumo ng mga umiiral na. Ang mga wallet ay karaniwang lumilikha ng mga transaksyon mula sa mga tiyak na pagpili ng UTXO sa halip na muling gamitin ang mga endpoint ng account, at ang mga gumagamit ay hindi umaasa sa pagkopya ng mga destinasyon na address mula sa mga kasaysayan ng account sa parehong paraan.
Wala ring umiiral na persistent account state upang biswal na i-poison. Ito ay hindi isang flaw ng protocol o isang exploit para sa smart contracts. Ito ay isang flaw sa disenyo na nakipag-ugnayan sa kalikasan ng tao, at sa loob ng mas mababa sa isang oras, nagkakahalaga ito ng $50 milyon.
