Laut einem Blogbeitrag veröffentlicht von den Entwicklern der Krypto-Wallet ZenGo sagte das Unternehmen, es habe Sicherheitslücken in Transaktionssimulationslösungen aufgedeckt, die von beliebten dezentralen Anwendungen oder dApps verwendet werden. Diese Schwachstelle, die als „Red Pill Attack“ bezeichnet wird, ermöglicht es böswilligen dApps, Benutzerressourcen zu stehlen, basierend auf undurchsichtigen Transaktionsgenehmigungen, die Benutzern angeboten und von ihnen genehmigt werden. Die Schwachstelle leitet ihren Namen von der ikonischen „Red Pill“-Szene aus der Filmreihe „Matrix“ ab.
„Wenn Malware erkennen kann, dass sie tatsächlich in einer simulierten Umgebung ausgeführt wird oder in der Matrix lebt, kann sie sich gutartig verhalten und so die Anti-Malware-Lösung täuschen und ihre wahre bösartige Natur nur offenbaren, wenn sie tatsächlich in einer realen Umgebung ausgeführt wird Umfeld.”
ZenGo behauptete, seine Forschung habe ergeben, dass viele führende Anbieter, einschließlich Coinbase Wallet, zu einem bestimmten Zeitpunkt für solche Angriffe anfällig waren. „Alle Anbieter waren sehr empfänglich für unsere Berichte“, sagte ZenGo, „und die meisten von ihnen haben ihre fehlerhaften Implementierungen schnell behoben.“
Die Schwachstelle ist möglich durch ein Programmierversehen in „Special Variables“ unter Smart Contracts, die allgemeine Informationen über die Blockchain-Funktionalität speichern, wie z. B. den Zeitstempel des aktuellen Blocks. Während Simulationen gibt ZenGo jedoch an, dass es keinen korrekten Wert für spezielle Variablen gibt, und behauptet, dass Entwickler „eine Abkürzung nehmen“ und sie auf einen beliebigen Wert setzen.
“Zum Beispiel enthält die Anweisung “COINBASE” die Adresse des aktuellen Blockminers. Da es während der Simulation keinen echten Block und daher keinen Miner gibt, setzen einige Simulationsimplementierungen ihn einfach auf die Nulladresse (Adresse nur aus Nullen).”
In einem Video demonstrierten ZenGo-Entwickler, wie eine intelligente Vertragssimulation auf Polygon (MATIC), die Benutzer auffordert, native Coins im Austausch gegen andere zu senden, über diese Methode kompromittiert werden könnte:
„Wenn der Benutzer die Transaktion tatsächlich on-chain sendet, wird COINBASE [Wallet] ist tatsächlich mit der Nicht-Null-Adresse des aktuellen Bergmanns gefüllt und der Vertrag nimmt nur die gesendeten Münzen.
Laut ZenGo war die Behebung der Schwachstelle einfach: „Anstatt diese anfälligen Variablen mit willkürlichen Werten zu füllen, müssen die Simulationen sie mit aussagekräftigen Werten füllen.“ Die Firma präsentierte redigierte Screenshots von Bug-Bounties, die anscheinend von Coinbase vergeben wurden, um das Problem zu lösen. Die Ethereum Foundation hat ZenGo außerdem ein Stipendium in Höhe von 50.000 US-Dollar für seine Forschung zu Transaktionssimulationen zugesprochen.
Schneller Gruß an den Sicherheitsforscher @0xVazi aus @ZenGo der kürzlich einige hilfreiche, proaktive Vorschläge gemacht hat!
Wir lieben es, mit anderen im Sicherheitsbereich zusammenzuarbeiten, um die Sicherheit aller zu gewährleisten
— Taschenuniversum (@PocketUniverseZ) 27. Januar 2023