Isang Cyber Attack ang Nagnakaw ng Milyon-milyon sa Isang Click Lang

window.litespeed_ui_events=window.litespeed_ui_events||["mouseover","click","keydown","wheel","touchmove","touchstart"];var urlCreator=window.URL||window.webkitURL;function litespeed_load_delayed_js_force(){console.log("[LiteSpeed] Start Load JS Delayed"),litespeed_ui_events.forEach(e=>{window.removeEventListener(e,litespeed_load_delayed_js_force,{passive:!0})}),document.querySelectorAll("iframe[data-litespeed-src]").forEach(e=>{e.setAttribute("src",e.getAttribute("data-litespeed-src"))}),"loading"==document.readyState?window.addEventListener("DOMContentLoaded",litespeed_load_delayed_js):litespeed_load_delayed_js()}litespeed_ui_events.forEach(e=>{window.addEventListener(e,litespeed_load_delayed_js_force,{passive:!0})});async function litespeed_load_delayed_js(){let t=[];for(var d in document.querySelectorAll('script[type="litespeed/javascript"]').forEach(e=>{t.push(e)}),t)await new Promise(e=>litespeed_load_one(t[d],e));document.dispatchEvent(new Event("DOMContentLiteSpeedLoaded")),window.dispatchEvent(new Event("DOMContentLiteSpeedLoaded"))}function litespeed_load_one(t,e){console.log("[LiteSpeed] Load ",t);var d=document.createElement("script");d.addEventListener("load",e),d.addEventListener("error",e),t.getAttributeNames().forEach(e=>{"type"!=e&&d.setAttribute("data-src"==e?"src":e,t.getAttribute(e))});let a=!(d.type="text/javascript");!d.src&&t.textContent&&(d.src=litespeed_inline2src(t.textContent),a=!0),t.after(d),t.remove(),a&&e()}function litespeed_inline2src(t){try{var d=urlCreator.createObjectURL(new Blob([t.replace(/^(?: )?$/gm,"$1")],{type:"text/javascript"}))}catch(e){d="data:text/javascript;base64,"+btoa(t.replace(/^(?: )?$/gm,"$1"))}return d} var litespeed_vary=document.cookie.replace(/(?:(?:^|.*;\s*)_lscache_vary\s*\=\s*([^;]*).*$)|^.*$/,"");litespeed_vary||fetch("/wp-content/plugins/litespeed-cache/guest.vary.php",{method:"POST",cache:"no-cache",redirect:"follow"}).then(e=>e.json()).then(e=>{console.log(e),e.hasOwnProperty("reload")&&"yes"==e.reload&&(sessionStorage.setItem("litespeed_docref",document.referrer),window.location.reload(!0))});

Paano Nangyari ang Address Poisoning Attack

Sa pinakapuso ng insidente ay isang wallet na aktibo na sa halos dalawang taon at pangunahing ginagamit para sa mga USDT transfer. Matapos mag-withdraw ng pondo mula sa Binance, nakatanggap ang user ng humigit-kumulang $50 milyon sa USDT. Sa paniniwalang ito ay isang ligtas na paraan, nagsagawa muna ang user ng maliit na test transfer. Ilang minuto ang lumipas, isinagawa ang pangunahing transfer, ngunit hindi namamalayan ng user na maling address ang nagamit niya.

Bago pa man umabot sa puntong ito, naihanda na ng manloloko ang “address poisoning” attack. Gumawa ang fraudster ng isang wallet na halos kapareho ng address na madalas gamitin ng biktima, at nagpadala ng napakaliit na halaga ng USDT dito, na nadagdag sa transaction history. Dahil mahahaba at komplikado ang mga address na lumalabas sa wallet interface, hindi sinasadyang nakopya ng user ang pekeng address na ito mula sa transaction history nang balak niyang maglipat ng pondo, dahilan upang halos $50 milyon ang mailipat sa wallet ng attacker sa isang click lamang.

Ang Kontrobersiya sa UTXO Model at Pananaw ni Charles Hoskinson

Nagbigay ng opinyon si Charles Hoskinson, ang founder ng Cardano, tungkol sa insidente, at iginiit na mas mahirap mangyari ang ganitong uri ng pagkawala sa ilang blockchain architecture. Binanggit niya na ang account-based models na ginagamit ng Ethereum at EVM-based networks ay estrukturang nagpapadali sa mga panlilinlang tulad ng address poisoning. Sa modelong ito, ang mga address ay nananatiling permanenteng account, at madalas na hinihikayat ng mga wallet ang mga user na kopyahin ang address mula sa mga nakaraang transaksyon—isang ugali na tinatarget ng mga scammer.

Ayon kay Hoskinson, ang mga network na gumagamit ng UTXO model, tulad ng Bitcoin at Cardano, ay mas matibay sa aspetong ito. Sa UTXO model, bawat transaksyon ay lumilikha ng mga bagong output habang kinokonsumo ang mga luma, kaya nawawala ang konsepto ng permanenteng “account balance.” Dahil dito, walang tuloy-tuloy na address history na maaaring lasunin sa paningin. Binibigyang-diin niya na ang insidenteng ito ay hindi isang protocol flaw o pagkakamali ng smart contract, kundi isang mapanganib na interaksyon ng disenyo at asal ng tao.

Kamakailan, itinampok din ng ibang ulat ang mga katulad na panganib. Sa mga nakaraang linggo, isang pangunahing wallet provider ang naglabas ng security update upang balaan ang mga user laban sa ugali ng pagkopya ng address at binago ang kanilang address verification screens. Binibigyang-diin ng mga pagbabagong ito ang kahalagahan ng disenyo ng wallet kasabay ng indibidwal na pag-iingat.