เมื่อเร็วๆ นี้ ผู้ใช้หลายคนรายงานว่ากระเป๋าเงินของตนเองทำการโอนเงินโดยอัตโนมัติ แต่ทุกครั้งที่จำนวนเงินโอนคือ 0 USDT ซึ่งทำให้พวกเขารู้สึกตกใจ และสอบถามเราว่ากระเป๋าเงินของพวกเขาถูกขโมยไปหรือไม่
ในความเป็นจริง นี่เป็นสแกมที่พบได้บ่อยมาก โดยผู้โจมตีใช้ประโยชน์จากช่องโหว่โดยธรรมชาติของสัญญาโทเค็น EVM เพื่อทำการโอนที่เป็นอันตราย ไม่จำเป็นต้องตื่นตระหนก กระเป๋าเงินของคุณยังปลอดภัย เพียงเพิกเฉยต่อสิ่งนี้
ตัวอย่างเช่น หลังจากผู้เสียหาย A โอน 500 USDC ให้ B ในธุรกรรมปกติ หลังจากนั้นไม่นาน A จะได้รับ 0 USDC จาก C (แฮกเกอร์) และในขณะเดียวกัน ผู้ใช้ A เองก็จะทำการโอน 0 USDC ไปยัง C โดยไม่สามารถควบคุมได้ในแฮชธุรกรรมเดียวกัน ทำให้เกิดการโอน 0 USDC
สาเหตุของเรื่องนี้คือฟังก์ชัน TransferFrom ของสัญญาโทเค็นไม่ได้บังคับให้จำนวนเงินที่ได้รับอนุญาตให้โอนต้องมากกว่า 0 ดังนั้นจึงเป็นไปได้ที่จะเริ่มต้นการโอน 0 USDC จากบัญชีผู้ใช้ใดๆ ไปยังบัญชีที่ไม่ได้รับอนุญาตโดยไม่เกิดข้อผิดพลาด ผู้โจมตีที่เป็นอันตรายใช้ประโยชน์จากเงื่อนไขนี้เพื่อเริ่มการดำเนินการ TransferFrom กับผู้ใช้ที่ใช้งานอยู่บนเชนอย่างต่อเนื่อง เพื่อกระตุ้นให้เกิดเหตุการณ์การโอน
เหตุการณ์โจมตีดังกล่าวมีอยู่ในทั้งเชน EVM และ TRON โปรดตรวจสอบและคัดลอกที่อยู่การโอนที่ถูกต้องเพื่อหลีกเลี่ยงการสูญเสียทรัพย์สิน
ในขณะเดียวกัน OneKey กำลังดำเนินการออกแบบการป้องกันการฉ้อโกงเพื่อหลีกเลี่ยงสแปมที่เป็นอันตรายและปกป้องคุณจากการฉ้อโกง