Технологічна вразливість Tether: $78 мільйонів втрачених через затримки в заморожуванні USDT

Згідно з новим звітом AMLBot, з 2017 року через «випадок відмивання» було втрачено $78 мільйонів у результаті методу заморожування Tether. У звіті стверджується, що між обмінами, які заявляють про намір заморозити USDT, що належить злочинним адресам, і фактичним виконанням цього процесу є «значна затримка».

AMLBot вказує, що виконання заморожувальних заходів для стабільної монети Tether USDT йде повільно. Як результат, принаймні $78 мільйонів було втрачено злочинними акторами на Ethereum та Tron з 2017 року.

«Випадок відмивання» виникає внаслідок налаштування багатопідписного контракту Tether, пояснює AMLBot у звіті. Спочатку запит на замороження надсилається в блокчейн, що вимагає багатьох підписів для затвердження перед виконанням замороження. Це створює «вікно можливості», яке дозволяє злочинним особам переміщувати кошти до замороження їх адреси.

Один зі прикладів, наданий у звіті, демонструє затримку в 44 хвилини між запитом на замороження та підтвердженням на Tron. AMLBot стверджує, що $49.6 мільйонів було виведено злочинними акторами на мережі Tron з 2017 року через цю вразливість. Гаманці змогли здійснити до трьох транзакцій під час затримки, а 4.88% чорних списків гаманців скористалися затримкою в мережі.

У той же час на Ethereum компанія виявила $28.5 мільйонів USDT, виведених у той же період. Загалом це складе $78.1 мільйонів на обох блокчейнах.

Служба безпеки PeckShield перевірила звіт і підтвердила існування цієї вразливості. «Це не обов`язково свідчить про проблему з самим контрактом. Скоріше, це оперативна проблема, яка створює часовий проміжок між подачею транзакції чорного списку та її виконанням», - сказав представник PeckShield в інтерв`ю Decrypt. «З урахуванням чутливого характеру проблеми з безпекою, покращення дійсно необхідні.»

Tether є випускником найбільшої стабільної монети в криптовалюті USDT, яка має на меті прив`язати свою ціну до долара США. Компанія блокує адреси від торгівлі своїми продуктами, якщо вони пов`язані з незаконною діяльністю, такою як гаманці, пов`язані з крадіжкою $1.4 мільярда на Bybit на початку цього року.

Перебування в чорному списку означає, що адреса більше не може переміщувати активи, випущені Tether, фактично роблячи токени безцінними.

Проте AMLBot вважає, що злочинні актори знають про вищезгадану затримку і створюють інструменти для використання її. «Інструменти можуть бути запрограмовані для моніторингу блокчейну на предмет специфічних взаємодій з контрактами, таких як виклики submitTransaction() пов`язані з запитами на замороження», - зазначив Слава Демчук, генеральний директор AMLBot, в інтерв`ю Decrypt. «Боти можуть сповіщати власників гаманців у той момент, коли замороження ініціюється, але до того, як воно буде реалізовано. З огляду на затримку, введену багатопідписним процесом Tether, це надає вузьке, але критичне вікно для злочинних акторів, щоб швидко перемістити кошти.»

«Хоча ми безпосередньо не спостерігали за самими ботами, поведінка в блокчейні сильно вказує на те, що така автоматизація активна», - додав він.

PeckShield попередила, що затримка є невід`ємною частиною функціонування багатопідписних рахунків. Простими словами, для того, щоб кілька людей підписали транзакцію, потрібен час, незважаючи на те, що в деяких випадках це вимагається для підвищення безпеки. Компанія запропонувала, що Tether може об`єднати запит на замороження з підписами в одну транзакцію, щоб усунути вікно.

Tether не відповів на запит Decrypt на коментар учасників учасників для публікації, ця стаття буде оновлена, щойно буде отримана відповідь.