เมื่อเร็วๆ นี้ ผู้ใช้จำนวนมากรายงานว่ากระเป๋าเงินของตนเองมีการโอนเงินโดยอัตโนมัติ แต่ทุกครั้งที่ยอดโอนเป็น 0 USDT พวกเขาก็ตกใจและถามเราว่ากระเป๋าเงินของตนถูกขโมยหรือไม่
อันที่จริง นี่เป็นการหลอกลวงที่พบบ่อยมาก โดยผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่มีอยู่ในสัญญาโทเค็น EVM เพื่อทำการโอนเงินที่เป็นอันตราย ไม่จำเป็นต้องตื่นตระหนก กระเป๋าเงินของคุณยังคงปลอดภัย เพียงแค่เพิกเฉยต่อมัน
ตัวอย่างเช่น หลังจากที่เหยื่อ A ส่ง 500 USDC ให้ B ในธุรกรรมปกติ เขาก็จะได้รับ 0 USDC จาก C (แฮกเกอร์) หลังจากนั้นไม่นาน และในขณะเดียวกัน ผู้ใช้ A เองจะโอน 0 USDC ให้ C โดยไม่สามารถควบคุมได้ในแฮชธุรกรรมเดียวกัน ทำให้การโอน 0 USDC เกิดขึ้น
เหตุผลที่เป็นเช่นนี้ก็คือ ฟังก์ชัน TransferFrom ของสัญญาโทเค็นไม่ได้บังคับให้จำนวนเงินที่ได้รับอนุญาตให้โอนต้องมากกว่า 0 ดังนั้นจึงเป็นไปได้ที่จะเริ่มต้นการโอน 0 USDC จากบัญชีผู้ใช้ใดๆ ไปยังบัญชีที่ไม่ได้รับอนุญาตโดยไม่ล้มเหลว ผู้โจมตีที่เป็นอันตรายใช้ประโยชน์จากเงื่อนไขนี้เพื่อเริ่มต้นการดำเนินการ TransferFrom อย่างต่อเนื่องกับผู้ใช้ที่ใช้งานอยู่บนเชน เพื่อกระตุ้นให้เกิดเหตุการณ์การโอน
เหตุการณ์การโจมตีดังกล่าวมีอยู่ทั้งบนเชน EVM และ TRON โปรดตรวจสอบและคัดลอกที่อยู่การโอนที่ถูกต้องเพื่อหลีกเลี่ยงการสูญเสียทรัพย์สิน
ในขณะเดียวกัน OneKey กำลังดำเนินการออกแบบป้องกันการฉ้อโกงบางอย่างเพื่อหลีกเลี่ยงสแปมที่เป็นอันตรายและปกป้องคุณจากการฉ้อโกง