Paano Nabawi ng Isang Crypto User ang 100 ETH na Nawawala Dahil sa Wallet Bug

Isang bihirang magandang balita ang nangyari ngayong linggo sa crypto, kung saan isang user ang nakabawi ng kanilang pondo matapos mawala ang 100 ETH dahil sa bug sa wallet.

Naging posible ang pagbawi ng pondo dahil sa aksyon ng Safe Wallet team at ang foresight ng mga white-hat developers sa Protofire.

100 ETH Nawawala Dahil sa Wallet Bug—Pero Na-recover sa Matinding Rescue

Nagsimula ang insidente nang subukan ng long-time Ethereum user na si khalo_0x sa X (Twitter) na i-bridge ang 100 ETH mula sa Ethereum Mainnet papunta sa Base blockchain. Ginamit nila ang opisyal na Safe Wallet Bridge interface.

Sa kasalukuyang rate, kung saan ang ETH ay nagte-trade sa $2,635, ang transfer na ito ay nagkakahalaga ng mahigit $263,500.

Hindi niya alam, may critical na bug sa user experience ng bridge tool na nag-allow sa transfer papunta sa isang smart contract wallet na akala niya ay kanya.

Pero, ang wallet na ito ay kontrolado ng ibang entity.

Ang ugat ng problema ay nasa paggamit ni Khalo ng lumang bersyon ng Safe (v1.1.1), na na-deploy noong 2020. Ang legacy version na ito ay wala pang multichain considerations at kulang sa proteksyon na standard na ngayon sa mga bagong bersyon.

Dahil dito, isang attacker, o parang ganun sa simula, ang nag-deploy ng kopya ng wallet address ni Khalo sa Base, pero may ibang owner configuration. Sa ganitong paraan, na-hijack nila ang pondo pagkapasok nito sa bridge.

“Nawala ang life savings ko sa isang click gamit ang Safe kagabi. Iyon ay matapos ang 8 taon ng paghawak ng ETH at pag-iwas sa scams. Isang UX bug sa opisyal na Bridge feature ang nagpakita na ang destination address ay ang Safe ko sa Base. Hindi pala,” hinanakit ni Khalo sa isang post.

Nakuha ng tweet ang atensyon ng crypto community, kasama na ang Safe team. Sinuri ni Builder Tschubotz.eth at natuklasan na ang Base address na kumokontrol sa bridged ETH ay hindi pala malicious.

Luma na Wallet Version, Nagbukas ng Puwang sa Cross-Chain Exploit

Sa halip, ito ay na-deploy ng Protofire, isang white-hat development firm na proactive na nag-deploy ng daan-daang Safe v1.1.1 wallets sa Base para maiwasan ang pag-deploy ng black-hat attackers.

“Hindi tulad ng EOAs (Externally Owned Accounts), ang mga smart accounts tulad ng Safe ay pinamamahalaan ng deployed smart contract code. Posible sa teknikal na aspeto na mag-deploy ng smart account na may parehong deployment config (parehong signers) sa iba’t ibang chains sa parehong address (gamit ang counterfactual deployment)…Pero iba ang kasong ito… Ang smart account version mula noon (v1.1.1.) ay hindi pa isinulat na may multichain sa isip, kaya posible para sa kahit sino na mag-deploy ng smart account sa ibang chain na may ganap na ibang config sa parehong address,” paliwanag ni Safe co-founder Lukas Schor ipinaliwanag.

Pagkatapos ma-verify ang pagkakakilanlan ni Khalo, agad na ibinalik ng Protofire ang buong 100 ETH. Isang matagumpay na full transfer ang sumunod sa test transaction, na nagresolba sa krisis ilang oras lang matapos itong magsimula.

“Isa ito sa mga pinakamagandang crypto stories na nakita ko sa matagal na panahon,” sabi ni Haseeb Qureshi, Managing Partner sa Dragonfly.

Ipinapakita ng insidente ang agarang pangangailangan para sa mas mahusay na user safeguards habang umuunlad ang crypto wallets sa multichain ecosystems.

Ang updated na bersyon ng Safe v1.2.0 ay may kasamang proteksyon laban sa ganitong uri ng exploit sa pamamagitan ng pagbabago kung paano kinakalkula ang CREATE2 salt sa panahon ng contract deployment.

Na-upgrade din ang bridge tool para magbigay ng babala kung may conflicting smart contract code sa destination address.

Gayunpaman, ang insidente ay isang paalala na ang mga user ay nananatiling bulnerable sa mga subtle, hindi halatang bug.

“…nasa punto pa rin tayo kung saan inaasahan na ang mga user ay gumawa ng test transactions bago ilipat ang mas malaking pondo.,” dagdag ni Schor.

Sa kabila ng unang trauma, natapos ang kwento ni Khalo na naibalik ang kanyang pondo.