최근 많은 사용자들이 지갑에서 자동으로 자금이 전송되는 것을 보고했지만, 전송 금액이 매번 0 USDT여서 매우 불안해하며 지갑을 도난당한 것이 아닌지 문의하고 있습니다.
사실 이것은 공격자가 EVM 토큰 계약의 내재된 취약점을 이용하여 악성 전송을 시도하는 매우 흔한 사기입니다. 패닉할 필요가 없으며, 지갑은 여전히 안전하니 무시하시면 됩니다.
예를 들어, 피해자 A가 일반적인 거래에서 B에게 500 USDC를 전송한 후, 잠시 후 C(해커)로부터 0 USDC를 받고, 동시에 사용자 A 자신도 동일한 거래 해시에서 C에게 제어할 수 없이 0 USDC를 전송하게 되어 0 USDC 전송이 실현됩니다.
이러한 이유는 토큰 계약의 TransferFrom 함수가 승인된 전송 금액이 0보다 커야 한다는 것을 강제하지 않기 때문에, 실패 없이 어떤 사용자 계정에서든 승인되지 않은 계정으로 0 USDC를 전송하는 것이 가능하기 때문입니다. 악의적인 공격자들은 이 조건을 이용하여 체인상의 활성 사용자들을 대상으로 지속적으로 TransferFrom 작업을 시도하여 전송 이벤트를 유발합니다.
이러한 공격 이벤트는 EVM 및 TRON 체인 모두에 존재합니다. 자산 손실을 피하기 위해 올바른 전송 주소를 다시 한번 확인하고 복사하십시오.
한편 OneKey는 유해한 스팸을 피하고 사기로부터 사용자를 보호하기 위해 일부 사기 방지 설계를 진행하고 있습니다.