Kürzlich ereignete sich einer der größten Verluste durch On-Chain-Betrügereien. Ein Address Poisoning-Angriff, ein Betrug, der ausnutzt, wie kontobasierte Blockchains Transaktionshistorien und Adresswiederverwendung verwalten, führte dazu, dass ein einzelner Nutzer fast 50 Millionen USDT verlor.
Kommentar von Charles Hoskinson
Laut Charles Hoskinson wäre dies auf einigen Architekturen, die von Natur aus widerstandsfähiger gegen Fehler dieser Art sind, nicht passiert. So kam es dazu.
Kurz nachdem das Geld von Binance abgehoben wurde, erhielt die Wallet des Opfers, die etwa zwei Jahre lang aktiv war und hauptsächlich für USDT-Transfers genutzt wurde, fast 50 Millionen Dollar. Der Nutzer führte zunächst eine kleine Testtransaktion an den vorgesehenen Empfänger durch, was viele als sicheres Verhalten ansehen würden. Der volle Betrag wurde wenige Minuten später gesendet. Für diese zweite Überweisung wurde jedoch die falsche Adresse verwendet.
Zuvor hatte der Betrüger einen Address Poisoning-Angriff durchgeführt, indem er eine kleine Menge USDT von einer Wallet aus sandte, die so gestaltet war, dass sie wie eine echte Adresse aussah, die das Opfer zuvor verwendet hatte. Das Opfer wählte versehentlich die vergiftete Adresse anstelle der korrekten, als es die Adresse aus der Transaktionshistorie kopierte. Dadurch gingen mit nur einem Klick 50 Millionen Dollar verloren.
Warum UTXO in diesen Fällen besser ist
Obwohl die gestohlenen USDT wahrscheinlich bewegt oder getauscht werden, befinden sie sich derzeit noch auf der Zieladresse.
"Das ist ein weiterer Grund, warum UTXO großartig ist", sagte Hoskinson als Reaktion auf den Vorfall. Er hat damit nicht Unrecht. Das kontobasierte Modell, das Ethereum und viele andere EVM-Chains verwenden, führt direkt zu dieser Art von Betrug. Adressen werden in der Transaktionshistorie als freie Zeichenfolgen angezeigt, und Wallets fördern das Kopieren aus vorherigen Transaktionen. Genau das machen sich Hacker zunutze.
Chains wie Bitcoin und Cardano, die auf dem UTXO-Modell basieren, funktionieren anders. Jede Transaktion erzeugt neue Outputs, während bestehende verbraucht werden. Wallets erstellen Transaktionen in der Regel aus expliziten UTXO-Auswahlen und nicht aus wiederverwendeten Kontoendpunkten, und Nutzer verlassen sich nicht in gleicher Weise auf das Kopieren von Zieladressen aus Kontohistorien. Ein persistenter Kontostatus, der visuell vergiftet werden könnte, existiert nicht.
Dies war kein Protokollfehler oder ein Exploit für Smart Contracts. Es war ein Designfehler, der mit der menschlichen Natur interagierte, und in weniger als einer Stunde kostete es 50 Millionen Dollar.
