En ovanlig positiv händelse inträffade denna vecka i kryptovärlden, där en användare återfick sina pengar efter att ha förlorat 100 ETH på grund av en bugg i en plånbok.
Återhämtningen beror på insatser från Safe Wallet-teamet och förutseende av vit-hatt-utvecklare på Protofire.
100 ETH förlorade på grund av plånboksbugg—sedan återhämtade i en fantastisk räddning
Incidenten inträffade när den erfarna Ethereum-användaren khalo_0x på X (Twitter) försökte överföra 100 ETH från Ethereum Mainnet till Base blockchain. De använde det officiella Safe Wallet Bridge-gränssnittet.
Vid nuvarande kurser, med ETH som handlas för 2 635 USD, var denna överföring värd över 263 500 USD.
Ovetandes om detta, tillät en kritisk användarupplevelsebugg i bryggverktyget överföringen till en smart kontrakt-plånbok som verkade vara hans.
Men denna plånbok kontrollerades av en annan enhet.
Problemet låg i Khalos användning av en föråldrad version av Safe (v1.1.1), som lanserades 2020. Denna äldre version saknade skydd som nu är standard i nyare versioner.
Som ett resultat hade en angripare, eller så verkade det först, tidigare skapat en kopia av Khalos plånboksadress på Base, men med en annan ägarkonfiguration. Med detta kapade de effektivt pengarna så snart de överfördes.
“Jag förlorade mina livsbesparingar med ett klick när jag använde Safe i går kväll. Det är efter 8 år av att hålla ETH och undvika bedrägerier. En UX-bugg i den officiella Bridge-funktionen antydde att destinationsadressen var min Safe på Base. Det var den inte,” beklagade Khalo i ett inlägg.
Tweeten fick uppmärksamhet från kryptosamhället, inklusive Safe-teamet. Byggaren Tschubotz.eth undersökte och upptäckte att Base-adressen som kontrollerade den överförda ETH inte var skadlig.
Gammal Plånboksversion Öppnade Dörren för Cross-Chain Exploit
Istället hade den skapats av Protofire, ett vit-hatt-utvecklingsföretag som proaktivt hade skapat hundratals Safe v1.1.1-plånböcker på Base för att förhindra svart-hatt-angripare från att göra det.
“Till skillnad från EOAs (Externally Owned Accounts) styrs smarta konton som Safe av distribuerad smart kontraktskod. Det är tekniskt möjligt att skapa ett smart konto med samma konfiguration (samma signaturer) på olika kedjor på samma adress (med kontrafaktisk distribution)… Men detta fall var annorlunda… Den smarta kontoversionen från då (v1.1.1.) var ännu inte skriven med multikedja i åtanke, så det var möjligt för vem som helst att skapa ett smart konto på en annan kedja med en helt annan konfiguration på samma adress,” förklarade Safe-medgrundaren Lukas Schor i ett inlägg.
Efter att ha verifierat Khalos identitet återlämnade Protofire omedelbart hela 100 ETH. En lyckad fullständig överföring följde en testtransaktion, vilket löste krisen bara timmar efter att den började.
“Detta är en av de coolaste kryptoberättelserna jag har sett på länge,” sa Haseeb Qureshi, Managing Partner på Dragonfly, i ett inlägg.
Incidenten belyser det akuta behovet av bättre användarskydd när kryptoplånböcker utvecklas i multikedje-ekosystem.
Safe’s uppdaterade version v1.2.0 inkluderar nu skydd mot denna typ av utnyttjande genom att ändra hur CREATE2-saltet beräknas under kontraktsdistribution.
Bryggverktyget har också uppgraderats för att utfärda varningar om motstridig smart kontrakt-kod finns på destinationsadressen.
Ändå är incidenten en påminnelse om att användare fortfarande är sårbara för subtila, icke-uppenbara buggar.
“…vi är fortfarande på en punkt där användare förväntas göra testtransaktioner innan de flyttar större summor.,” tillade Schor.
Trots den initiala traumat slutade Khalos historia med att hans pengar blev återställda.
Disclaimer
All information på vår webbplats publiceras i god tro och endast för allmän information. Varje åtgärd som läsaren vidtar baserat på informationen på vår webbplats sker strikt på egen risk.
