Recentemente, si è verificata una delle maggiori perdite dovute a truffe on-chain. Un attacco di address poisoning, una frode che sfrutta il modo in cui le blockchain basate su account gestiscono la cronologia delle transazioni e il riutilizzo degli indirizzi, ha causato la perdita di quasi 50 milioni di dollari in USDT da parte di un singolo utente .
Commento di Charles Hoskinson
Secondo Charles Hoskinson, ciò non sarebbe accaduto su alcune architetture intrinsecamente più resilienti a errori di questa natura. Ecco come è successo.
Poco dopo che il denaro è stato prelevato da Binance, il wallet della vittima, attivo da circa due anni e utilizzato principalmente per trasferimenti di USDT, ha ricevuto quasi 50 milioni di dollari. L’utente ha inviato una breve transazione di prova al destinatario previsto, comportamento che molti considererebbero sicuro. L’importo totale è stato inviato pochi minuti dopo. Per quel secondo trasferimento è stato utilizzato l’indirizzo errato.
In precedenza, il truffatore aveva effettuato un attacco di address poisoning inviando una piccola quantità di USDT da un wallet progettato per assomigliare a un vero indirizzo già utilizzato dalla vittima. La vittima ha scelto erroneamente l’indirizzo avvelenato invece di quello corretto quando ha copiato l’indirizzo dalla cronologia delle transazioni. Di conseguenza, 50 milioni di dollari sono stati persi con un solo clic.
Perché UTXO è migliore in questi casi
Sebbene probabilmente verrà spostato o scambiato, l’USDT rubato si trova attualmente ancora all’indirizzo di destinazione.
"Questo è un altro motivo per cui UTXO è fantastico", ha dichiarato Hoskinson in risposta all’incidente. E non ha torto. Il modello basato su account che Ethereum e molte altre chain EVM utilizzano porta direttamente a questo tipo di truffa. Gli indirizzi vengono visualizzati come stringhe libere nella cronologia delle transazioni e i wallet promuovono la copia dagli scambi precedenti. Ed è proprio su questo che fanno leva gli hacker.
Chain come Bitcoin e Cardano, che si basano sul modello UTXO, funzionano in modo diverso. Ogni transazione produce nuove uscite consumando quelle esistenti. I wallet di solito creano transazioni da selezioni UTXO esplicite piuttosto che da endpoint di account riutilizzati, e gli utenti non si affidano a copiare gli indirizzi di destinazione dalla cronologia degli account nello stesso modo. Non esiste uno stato persistente dell’account da avvelenare visivamente.
Non si è trattato di una falla del protocollo o di uno sfruttamento di smart contract. Era un difetto di progettazione che interagiva con la natura umana e, in meno di un’ora, è costato 50 milioni di dollari.
