Recentemente, uma das maiores perdas causadas por golpes on-chain ocorreu. Um ataque de envenenamento de endereço, uma fraude que se aproveita de como blockchains baseadas em contas gerenciam o histórico de transações e a reutilização de endereços, fez com que um único usuário perdesse quase 50 milhões de dólares em USDT.
Comentário de Charles Hoskinson
De acordo com Charles Hoskinson, isso não teria ocorrido em algumas arquiteturas que são inerentemente mais resilientes a erros dessa natureza. Foi assim que aconteceu.
Pouco depois do dinheiro ter sido retirado da Binance, a carteira da vítima, que estava ativa há cerca de dois anos e era usada principalmente para transferências de USDT, recebeu quase 50 milhões de dólares. O usuário enviou uma breve transação de teste ao destinatário pretendido, o que muitos considerariam um comportamento seguro. O valor total foi enviado alguns minutos depois. O endereço incorreto foi utilizado para essa segunda transferência.
Anteriormente, o golpista havia realizado um ataque de envenenamento de endereço ao enviar uma pequena quantia de USDT a partir de uma carteira projetada para se parecer com um endereço real que a vítima já havia utilizado. A vítima escolheu erroneamente o endereço envenenado em vez do correto ao copiar o endereço do histórico de transações. Como resultado, 50 milhões de dólares foram perdidos com apenas um clique.
Por que o UTXO é melhor nesses casos
Embora provavelmente vá ser movido ou trocado, o USDT roubado ainda está atualmente no endereço de destino.
"Este é mais um motivo pelo qual o UTXO é incrível", disse Hoskinson em resposta ao incidente. Ele não está errado. O modelo baseado em contas que Ethereum e muitas outras chains EVM utilizam leva diretamente a esse tipo de golpe. Os endereços são exibidos como cadeias de caracteres livres no histórico de transações, e as carteiras incentivam a cópia de transações anteriores. É exatamente isso que os hackers aproveitam.
Chains como Bitcoin e Cardano, que são baseadas no modelo UTXO, funcionam de maneira diferente. Cada transação produz novas saídas ao consumir as existentes. As carteiras geralmente criam transações a partir de seleções explícitas de UTXO, em vez de pontos finais de contas reutilizados, e os usuários não dependem de copiar endereços de destino do histórico de contas da mesma forma. Não existe um estado de conta persistente para ser visualmente envenenado.
Isso não foi uma falha de protocolo ou uma exploração de contratos inteligentes. Foi uma falha de design que interagiu com a natureza humana e, em menos de uma hora, custou 50 milhões de dólares.
