Kamakailan, isa sa pinakamalaking pagkalugi mula sa on-chain scams ang naganap. Isang address poisoning attack, isang uri ng panlilinlang na sinasamantala ang paraan ng pamamahala ng account-based blockchains sa transaction history at address reuse, ang naging dahilan upang isang user mawalan ng halos $50 milyon sa USDT.
Komento ni Charles Hoskinson
Ayon kay Charles Hoskinson, hindi sana ito nangyari sa ilang arkitektura na likas na mas matibay laban sa mga ganitong uri ng pagkakamali. Ganito ito nangyari.
Ilang sandali matapos mailabas ang pera mula sa Binance, ang wallet ng biktima, na aktibo na ng halos dalawang taon at kadalasang ginagamit para sa USDT transfers, ay nakatanggap ng halos $50 milyon. Nagpadala ang user ng isang maikling test transaction sa intended recipient, na itinuturing ng marami bilang ligtas na kilos. Ilang minuto lang ang lumipas, ipinadala na ang buong halaga. Mali ang address na ginamit para sa ikalawang transfer na iyon.
Mas maaga, isinagawa ng scammer ang address poisoning attack sa pamamagitan ng pagpapadala ng maliit na halaga ng USDT mula sa isang wallet na dinisenyo upang magmukhang totoong address na dati nang ginamit ng biktima. Nagkamali ang biktima at napili ang poisoned address sa halip na ang tamang address nang kinopya nila ito mula sa transaction history. Bilang resulta, $50 milyon ang nawala sa isang click lang.
Bakit mas maganda ang UTXO sa mga kasong ito
Bagaman malamang na ililipat o ipagpapalit ito, ang ninakaw na USDT ay kasalukuyang nasa destination address pa rin.
"Isa pa itong dahilan kung bakit kahanga-hanga ang UTXO," sabi ni Hoskinson bilang tugon sa insidente. Hindi siya nagkakamali. Ang account-based model na ginagamit ng Ethereum at marami pang ibang EVM chains ay direktang nagdudulot ng ganitong uri ng scam. Ang mga address ay ipinapakita bilang free-form strings sa transaction history, at hinihikayat ng mga wallet ang pagkopya mula sa mga nakaraang transaksyon. Ito mismo ang sinasamantala ng mga hacker.
Ang mga chain tulad ng Bitcoin at Cardano na nakabase sa UTXO model ay gumagana nang iba. Bawat transaksyon ay lumilikha ng mga bagong output habang ginagamit ang mga umiiral na output. Karaniwan, ang mga wallet ay gumagawa ng transaksyon mula sa tahasang UTXO selections sa halip na paulit-ulit na account endpoints, at hindi umaasa ang mga user sa pagkopya ng destination addresses mula sa account histories sa parehong paraan. Walang persistent account state na maaaring lasunin sa visual.
Hindi ito isang protocol flaw o exploit para sa smart contracts. Isa itong depekto sa disenyo na nakipag-ugnayan sa likas na ugali ng tao, at sa wala pang isang oras, nagkakahalaga ito ng $50 milyon.
