Brasileiro decobre bug no USDT da rede Tron que permite fraudar origem de transação

Un nouveau bug n’a trouvé aucun contrat intelligent avec Stablecoin Tether (USDT) sur Tron, ce qui a permis à un golpista fraudar un original de transação da cryptomoeda. A falha foi descoberta na sexta-feira (25) par Carlos Lain, desenvolvedor brasileiro e criador da corretora PagCripto. Ele contou ao Portal do Bitcoin qu’encontrou o bug após um cliente perceber qu’a sua carteira havia sido origem de uma transação que ele não havia feito.

« Reparei que isso tinha acontecido comigo tambem. E fui verificar se as duas carteiras, tanto a minha quanto a do meu cliente, foram comprometidas, ou se era uma coïncididência. Foi aí que eu descobri o bug”, conta Lain.

«O que os golpistas conseguem fazer é enviar USDT para uma pessoa dizendo que quem enviou, par exemple, fui eu, quando na verdade quem assinou essa transação não fui eu. Foi outro endereço que eu não conheço e que não consegue mexer nos meus fundos. Na prática, tudo que o golpista faz é mandar uma mensagem errada dizendo que quem enviou a transação foi um outro endereço.

vous obtenez l’origine réelle de la chaîne de blocs omitindo então sua origem real.

« A carteira acredita que se você apareceu como emissor, é porque você assinou a transação, e era para ser assim. Porém o contrato da Tether permite a inclusão dessa informação falsa », diz o desenvolvedor, que ressalta que esse bug parece existir apenas no contrato do USDT na rede Tron, do padrão TRC-20, and não afeta os tokens USDT based outras em outras redes, vient d’Ethereum.

O brasileiro désenvoléou signalé à equipe da Tether o bug descoberto, inclus o chefe de tecnologia da empresa, Paolo Ardoino, que respondeu a ele estar verificando o problema.

O primeiro endereço sublinhado é a origem real da transação, eo segundo é o endereço da vítima apontado de forma fraudulenta como a origem da transação (Fonte : Tronscan)

Evolução de um golpe conhecido

Para explorar de forma maliciosa o bug que permite fraudar a origem da transação, o invasor faz uso de outro golpe já conhecido no setor, no qual ele envia pequenas quantias de tokens para a vítima a partir de um endereço com começo e final igual a outro endereço legítimo que o alvo já interagiu no passado.

Eles fazem isso para que o endereço fraudulento apareça no histórico de transações e confunda o usuário a enviar criptomoedas para um endereço errado, mas com caracteres semelhantes ao destin legítimo.

« Plusieurs commerçants, principalement sur P2P, utilisent une liste d’endereços recorrentes qu’aparecem na carteira para agilizar o trabalho, e volta e meia caem nesse golpe. Eu já vi acontecer com um P2P do mercado brasileiro that ia mandar 50 mil USDT para um endereço fraudulento that era quasi igual ao do cliente”, recorda Lain.

O bug do USDT na Tron usa a mesma estratégia do golpe acima, mas de forma evoluída, ao simular que o usuário já enviou criptomoedas para o endereço do golpista no passado.

« Esse golpe se torna mais problemático quando o golpista consegue, através do contrato da Tether, enganar as wallets. Isso significa que o pessoal que faz interações seguidas não pode mais confiar no que está salvo na própria wallet”, résumé ou désenvolvedor.

Lain finaliza dizendo que os usuários devem semper verificar manualmente o endereço antes de enviar criptomoedas. Ele tambem recomenda evitar usar sistemas que salvam endereços recentes e, no caso de transferências partindo de exchanges, o ideal é semper ter ativado a opção de whitelist onde o usuário pode adicionar previamente os endereços confiáveis.

Vous négociez plus de 200 échanges numériques sur le principal échange d’Amérique latine ? Conheça o Mercado Bitcoin ! Avec 3,8 millions de clients, une plate-forme de MB et plus de R$ 50 bilhões em trade in. Crie sua conta grátis  !