Rapport om etterslep i frysing av USDT
Det er et «betydelig etterslep» mellom børser som sier de vil fryse USDT holdt av ondsinnede adresser og det å faktisk gjøre det, ifølge en ny rapport fra AMLBot. Rapporten viser at håndhevelsen av on-chain frysing av Tethers USDT stabilcoin har vært treg. Som et resultat opplyser anti-hvitvaskingsfirmaet at minst $78 millioner har blitt tapt til uredelige aktører på Ethereum og Tron siden 2017.
Sårbarhet i tjenesten
«Vaskelotteri-vulnerabiliteten» er et resultat av Tethers multisignaturkontraktoppsett, ifølge AMLBot. Først sendes en fryseforespørsel on-chain som krever flere signaturer for å bli godkjent før frysen kan gjennomføres. Dette skaper et «mulighetsvindu» som tillater kriminelle aktører å flytte midler før adressen deres fryses. Et eksempel i rapporten viser en 44-minutters forsinkelse mellom fryseforespørselen og bekreftelsen på Tron.
AMLBot anslår at $49,6 millioner har blitt tatt ut av uredelige aktører på Tron-nettverket siden 2017 på grunn av denne sårbarheten. Lommebøker kunne gjennomføre opptil tre transaksjoner i løpet av forsinkelsesvinduet, hvor 4,88 % av de svartelistede lommebøkene utnyttet etterslepet på nettverket. Samtidig fant firmaet $28,5 millioner USDT tatt ut på Ethereum i den samme tidsrammen, noe som gir et totalbeløp på $78,1 millioner på tvers av begge kjeder.
Evaluering av sårbarheten
«Det indikerer ikke nødvendigvis et problem med kontrakten selv. Det er snarere et driftsspørsmål som skaper et tidsvindu mellom når den svarteliste-transaksjonen sendes inn og når den faktisk blir utført,»
Tether er utsteder av den største stabile mynten i kryptovaluta, USDT, som har som mål å knytte prisen sin til den amerikanske dollaren. Selskapet setter opp adresser for å hindre dem i å handle produkter hvis de er knyttet til ulovlig aktivitet, som lommebøker relatert til Bybit-hacket på $1,4 milliarder tidligere i år. Å bli satt på svartelisten betyr at adressen ikke lenger kan flytte Tether-utstedte eiendeler, noe som effektivt gjør tokenene verdiløse.
Verktøy for overvåkning av blockchain
«Verktøy kan programmeres til å overvåke blokkjeden for spesifikke kontraktsinteraksjoner, som submitTransaction-anropet knyttet til fryseforespørselen,»
«Robotene kan varsle lommebokseiere i det øyeblikket en frys initieres, men før den håndheves. Gitt forsinkelsen som Tethers multisignaturprosess introduserer, gir dette et smalt, men kritisk vindu for kriminelle aktører til å flytte midler raskt.»
«Selv om vi ikke har observert robotene direkte, antyder det on-chain atferden sterkt at slik automatisering er i spill,» la han til.
Forslag til forbedringer
PeckShield advarte om at etterslepet er iboende i designet for multi-signaturkontoer. Enkelt sagt tar det tid å få flere personer til å signere en transaksjon, selv om dette i noen tilfeller er nødvendig for økt sikkerhet. Firmaet foreslo at Tether kunne samle fryseforespørselen med signaturene i én transaksjon for å eliminere tidsvinduet.
Tether svarte ikke på Decrypts forespørsel om kommentar før publisering, og denne artikkelen vil bli oppdatert når svar er mottatt.
