Funkcja CREATE2 może okazać się słabym punktem kryptowaluty Ethereum – ostrzegają eksperci ds. cyberbezpieczeństwa z Check Point Research. Poprawiła ona przewidywalność i efektywność inteligentnych kontraktów, a jednocześnie pomogła w opracowaniu nowatorskiej metody ataku.
W domenie blockchain i kryptowalut Ethereum jest „latarnią” innowacji i możliwości adaptacji. Jego zdolność do wsparcia rozwoju i transformacji czyni go nieocenionym atutem w krajobrazie technologicznym. Jednak same atrybuty, które przyczyniają się do sukcesu Ethereum, czynią go również podatnym na nowe formy luk w zabezpieczeniach. Wśród nich funkcja CREATE2 okazała się mieczem obosiecznym, oferującym zarówno postęp technologiczny, jak i potencjalne zagrożenia bezpieczeństwa.
Zrozumienie CREATE2
Wprowadzona w ramach aktualizacji Ethereum Constantinople funkcja CREATE2 zrewolucjonizowała sposób wdrażania inteligentnych kontraktów, umożliwiając tworzenie ich z deterministycznymi adresami jeszcze przed napisaniem faktycznego kodu kontraktu. Funkcja znacznie poprawia przewidywalność i efektywność interakcji inteligentnych kontraktów, szczególnie w skomplikowanych ekosystemach zdecentralizowanych aplikacji (dApps). Ułatwia planowanie interakcji pomiędzy wieloma umowami, co jest kluczowe dla płynnej funkcjonalności dApps.
Dylemat bezpieczeństwa w Ethereum
Chociaż CREATE2 zapewnia Ethereum nowoczesne możliwości, wprowadza także znaczącą lukę w zabezpieczeniach. Cyberprzestępcy wykorzystali już tę funkcję do ominięcia tradycyjnych środków bezpieczeństwa i opracowali nowatorską metodę atakowania niczego niepodejrzewających użytkowników. Luka wynika ze zdolności CREATE2 do wdrożenia w przyszłości inteligentnego kontraktu pod wcześniej określonym adresem, umożliwiając w ten sposób atakującym oszukanie użytkowników w celu autoryzacji transakcji na podstawie nieistniejącej umowy. Po uzyskaniu zgody osoba atakująca może następnie wdrożyć złośliwą umowę na ten adres, narażając portfel kryptowalut użytkownika.
Mechanizm ataku
- Cyberprzestępca przekonuje użytkownika do zatwierdzenia lub zwiększenia limitu dla umowy, która nie została jeszcze wdrożona.
- Ponieważ umowa nie istnieje w momencie zatwierdzenia, unika ona wykrycia przez rozwiązania bezpieczeństwa, które zazwyczaj monitorują zagrożenia w oparciu o istniejące umowy.
- Za zgodą użytkownika osoba atakująca wdraża złośliwą umowę, uzyskując dostęp do środków użytkownika i je wykorzystując.
Wg analityków Check Point Research przykład ten nie tylko demonstruje złośliwe wykorzystanie funkcji funkcji Ethereum przez cyberprzestępców, ale także podkreśla poważne wyzwanie dla produktów zabezpieczających. Większość środków bezpieczeństwa ma na celu ocenę i walidację transakcji w oparciu o istniejące umowy i znane zachowania. Jednak CREATE2 uwzględnia przyszłe interakcje kontraktowe, omijając tradycyjne ramy bezpieczeństwa, narażając tym samym zasoby cyfrowe na ryzyko.
Wykorzystanie funkcji CREATE2 podkreśla ciągłe konflikty pomiędzy innowacjami a bezpieczeństwem w sferze blockchain. Wraz z ewolucją Ethereum powinny ewoluować także mechanizmy bezpieczeństwa. Świadomość i edukacja to kluczowe pierwsze kroki w obronie zasobów cyfrowych przed pojawiającymi się zagrożeniami – podkreślają specjaliści Check Pointa.