En sjælden positiv drejning skete i denne uge i krypto, hvor en bruger fik sine midler tilbage efter at have mistet 100 ETH på grund af en wallet-fejl.
Opsvinget skyldes handling fra Safe Wallet-teamet og fremsynethed fra white-hat udviklere hos Protofire.
100 ETH mistet til wallet-fejl—derefter reddet i en imponerende redning
Hændelsen udspillede sig, da den mangeårige Ethereum-bruger khalo_0x på X (Twitter) forsøgte at overføre 100 ETH fra Ethereum Mainnet til Base blockchain. De brugte den officielle Safe Wallet Bridge-grænseflade.
Med en kurs på $2,635 for ETH i øjeblikket, var denne overførsel værd over $263,500.
Uden hans viden tillod en kritisk brugeroplevelsesfejl i broværktøjet overførslen til en smart contract wallet, der så ud til at være hans.
Men denne wallet blev kontrolleret af en anden enhed.
Problemet lå i Khalos brug af en forældet version af Safe (v1.1.1), der blev implementeret i 2020. Denne ældre version forudså ikke multichain-overvejelser og manglede beskyttelser, der nu er standard i nyere versioner.
Som et resultat havde en angriber, eller så det ud til i starten, tidligere implementeret en kopi af Khalos wallet-adresse på Base, men med en anden ejerkonfiguration. Med dette kaprede de effektivt midlerne, så snart de blev overført.
“Jeg mistede mine livsopsparinger med et klik ved brug af Safe i går aftes. Det er efter 8 år med at holde ETH og undgå svindel. En UX-fejl i den officielle Bridge-funktion antydede, at destinationsadressen var min Safe på Base. Det var den ikke,” beklagede Khalo i et opslag.
Tweetet tiltrak opmærksomhed fra kryptosamfundet, inklusive Safe-teamet. Bygger Tschubotz.eth undersøgte og opdagede, at Base-adressen, der kontrollerede den overførte ETH, ikke var ondsindet alligevel.
Forældet wallet-version åbnede dør til global exploit
I stedet var den blevet implementeret af Protofire, en white-hat udviklingsfirma, der proaktivt havde implementeret hundredvis af Safe v1.1.1 wallets på Base for at forhindre black-hat angribere i at gøre det.
“I modsætning til EOAs (Externally Owned Accounts) styres smarte konti som Safe af implementeret smart contract-kode. Det er teknisk muligt at implementere en smart konto med den samme implementeringskonfiguration (samme signaturer) på forskellige kæder på den samme adresse (ved hjælp af kontrafaktisk implementering)… Men denne sag var anderledes… Den smarte kontoversion fra dengang (v1.1.1.) var endnu ikke skrevet med multichain for øje, så det var muligt for enhver at implementere en smart konto på en anden kæde med en helt anden konfiguration på den samme adresse,” forklarede Safe-medstifter Lukas Schor .
Efter at have verificeret Khalos identitet returnerede Protofire straks de fulde 100 ETH. En vellykket fuld overførsel fulgte en testtransaktion, hvilket løste krisen blot timer efter den begyndte.
“Dette er en af de fedeste krypto-historier, jeg har set i et stykke tid,” sagde Haseeb Qureshi, Managing Partner hos Dragonfly.
Hændelsen understreger det presserende behov for bedre brugerbeskyttelse, efterhånden som krypto wallets udvikler sig i multichain-økosystemer.
Safe’s opdaterede version v1.2.0 inkluderer nu beskyttelser mod denne type udnyttelse ved at ændre, hvordan CREATE2 salt beregnes under kontraktimplementering.
Broværktøjet er også blevet opgraderet til at udsende advarsler, hvis der findes modstridende smart contract-kode på destinationsadressen.
Alligevel er hændelsen en alvorlig påmindelse om, at brugere stadig er sårbare over for subtile, ikke-indlysende fejl.
“…vi er stadig på et punkt, hvor brugere forventes at lave testtransaktioner, før de flytter større midler.,” tilføjede Schor.
På trods af det første traume endte Khalos historie med, at hans midler blev gendannet.
Disclaimer
Alle oplysninger på vores hjemmeside offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, der foretages af læserne på grundlag af oplysningerne på vores hjemmeside, er udelukkende på egen risiko.
