En sjelden positiv vending skjedde denne uken i krypto, der en bruker fikk tilbake midlene sine etter å ha mistet 100 ETH på grunn av en feil i lommeboken.
Gjenopprettingen skyldes handling fra Safe Wallet-teamet og forutseende av white-hat utviklere hos Protofire.
100 ETH tapt til lommebokfeil—deretter gjenfunnet i en imponerende redning
Hendelsen utspilte seg da den erfarne Ethereum-brukeren khalo_0x på X (Twitter) forsøkte å overføre 100 ETH fra Ethereum Mainnet til Base blokkjede. De brukte den offisielle Safe Wallet Bridge-grensesnittet.
Med dagens kurser, der ETH handles for $ 2635 i skrivende stund, var denne overføringen verdt over $ 263 500.
Uten at han visste det, tillot en kritisk brukeropplevelsesfeil i broverktøyet overføringen til en smartkontrakt-lommebok som så ut til å være hans.
Imidlertid ble denne lommeboken kontrollert av en annen enhet.
Problemet lå i Khalos bruk av en utdatert versjon av Safe (v1.1.1), distribuert i 2020. Denne eldre versjonen var før multikjede-hensyn og manglet beskyttelser som nå er standard i nyere versjoner.
Som et resultat hadde en angriper, eller så det ut til, tidligere distribuert en kopi av Khalos lommebokadresse på Base, men med en annen eierkonfigurasjon. Med dette kapret de effektivt midlene så snart de ble overført.
“Jeg mistet livsbesparelsene mine med ett klikk ved å bruke Safe i går kveld. Det er etter 8 år med å holde ETH og unngå svindel. En UX-feil i den offisielle Bridge-funksjonen antydet at destinasjonsadressen var min Safe på Base. Det var den ikke,” klaget Khalo i et innlegg.
Tweeten fikk oppmerksomhet fra kryptofellesskapet, inkludert Safe-teamet. Utvikler Tschubotz.eth undersøkte og oppdaget at Base-adressen som kontrollerte den overførte ETH ikke var ondsinnet likevel.
Utdatert lommebokversjon åpnet for cross-chain exploit
I stedet hadde den blitt distribuert av Protofire, et white-hat utviklingsfirma som proaktivt hadde distribuert hundrevis av Safe v1.1.1 lommebøker på Base for å forhindre black-hat angripere fra å gjøre det.
“I motsetning til EOAs (Externally Owned Accounts), styres smarte kontoer som Safe av distribuert smartkontraktkode. Det er teknisk mulig å distribuere en smartkonto med samme distribusjonskonfigurasjon (samme signaturer) på forskjellige kjeder på samme adresse (ved å bruke kontrafaktisk distribusjon)… Men dette tilfellet var annerledes… Den smarte kontoversjonen fra den gang (v1.1.1.) var ennå ikke skrevet med multikjede i tankene, så det var mulig for hvem som helst å distribuere en smartkonto på en annen kjede med en helt annen konfigurasjon på samme adresse,” forklarte Safe medgründer Lukas Schor .
Etter å ha verifisert Khalos identitet, returnerte Protofire raskt hele 100 ETH. En vellykket full overføring fulgte en testtransaksjon, og løste krisen bare timer etter at den begynte.
“Dette er en av de kuleste kryptohistoriene jeg har sett på en stund,” sa Haseeb Qureshi, Managing Partner hos Dragonfly.
Hendelsen fremhever det presserende behovet for bedre brukersikringer ettersom kryptolommebøker utvikler seg i multikjede-økosystemer.
Safe sin oppdaterte versjon v1.2.0 inkluderer nå beskyttelser mot denne typen utnyttelse ved å endre hvordan CREATE2 salt beregnes under kontraktsdistribusjon.
Broverktøyet har også blitt oppgradert for å gi advarsler hvis motstridende smartkontrakt-kode eksisterer på destinasjonsadressen.
Likevel er hendelsen en nøktern påminnelse om at brukere fortsatt er sårbare for subtile, ikke-åpenbare feil.
“…vi er fortsatt på et punkt der brukere forventes å gjøre testtransaksjoner før de flytter større midler.,” la Schor til.
Til tross for det første traumet, endte Khalos historie med at midlene hans ble gjenopprettet.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
