Эксперты Scam Sniffer сообщили о новой схеме мошенников, которые похищают криптовалюты, используя поддельное моделирование транзакций. В одной из атак хакеры сумели украсть 143,45 ETH (около $460 000) всего за 30 секунд. Некоторые Web3-кошельки предлагают функцию предварительного просмотра транзакции перед ее подтверждением. Эта функция призвана увеличить прозрачность, давая пользователям возможность проверить сумму перевода, комиссию и другие параметры на блокчейне.
Однако мошенники нашли уязвимость в этом механизме. Они привлекают жертв на вредоносные сайты, предлагая небольшие суммы Ethereum. Пользователю предоставляется предпросмотр транзакции, но задержка между симуляцией и фактическим выполнением операции дает хакерам возможность изменить состояние контракта в блокчейне. Если жертва подписывает такую транзакцию, злоумышленники опустошают ее кошелек.
Эксперты рекомендуют разработчикам Web3-кошельков уменьшить частоту обновления моделирования, чтобы она синхронизировалась с временем блоков, а также обеспечить обязательное обновление симуляции перед критическими операциями с предупреждением пользователей о возможных рисках.