78 millioner dollars tabt til ‘hvidvaskningshul’ i Tether frysemetode siden 2017

I korte træk En forsinkelse mellem anmodningen om at fryse en adresse og dens on-chain-eksekvering for Tether’s USDT stablecoin blev fundet af blockchain-efterretningsfirmaet AMLBot. Tether sortlister adresser forbundet med ulovlig aktivitet og fryser tegnebøgerne fra at flytte aktiver udstedt af virksomheden. Som følge af fryseforsinkelsen hævder AMLBots rapport, at ondsindede aktører slap væk med mere end 78 millioner dollars på Ethereum og Tron siden 2017. Der er en “betydelig forsinkelse” mellem børser, der siger, at de vil fryse USDT, der ejes af ondsindede adresser og faktisk gør det, ifølge en ny rapport fra AMLBot. AMLBots rapport fandt ud af, at on-chain-frysningsefterlevelse af Tether’s USDT stablecoin har været sløv. Som følge heraf har anti-hvidvaskningsfirmaet sagt, at mindst 78 millioner dollar er gået tabt til dårlige aktører på Ethereum og Tron siden 2017. “Hvidvaskningshullet” er resultatet af Tethers oprettelse af multisignatarkontrakt, forklarede AMLBot i rapporten. Først sendes en fryseanmodning on-chain, som kræver flere underskrifter for at godkende, inden fryse kan udføres. Som følge heraf oprettes et “vindue af mulighed”, der tillader ulovlige aktører at flytte midler, før deres adresse fryses. Et eksempel fra rapporten viser en 44 minutters forsinkelse mellem fryseanmodning og bekræftelse på Tron. AMLBot hævder, at der er trukket 49,6 millioner dollar ud af dårlige aktører på Tron-netværket siden 2017 som følge af sårbarheden. Tegnebøger kunne foretage op til tre transaktioner i forsinkelsesvinduet med 4,88% af sortlistede tegnebøger, der udnyttede forsinkelsen på netværket. Imens på Ethereum fandt firmaet, at 28,5 millioner USDT blev trukket tilbage inden for samme tidsramme. I alt 78,1 millioner dollars på tværs af de to kæder. Sikkerhedsfirmaet PeckShield gennemgik rapporten og bekræftede, at hullet eksisterer. “Det indikerer ikke nødvendigvis et problem med kontrakten selv. Det er derimod et driftsproblem, der skaber et tidsvindue mellem, hvornår sortlistetransaktionen bliver indsendt, og hvornår den udføres”, fortalte en talsmand for PeckShield til Decrypt. “På grund af problemets sikkerhedsfølsomme karakter er forbedringer helt sikkert nødvendige.” Tether er udstederen af den største stablecoin inden for krypto USDT, som sigter mod at knytte sin pris til den amerikanske dollar. Selskabet sortlister adresser fra at handle deres produkter, hvis de er forbundet med ulovlig aktivitet, såsom tegnebøger, der er knyttet til det 1,4 milliarder dollars store Bybit-hack tidligere på året. At være sortlistet betyder, at adressen ikke længere kan flytte Tether udstedte aktiver, hvilket effektivt gør tokenene værdiløse. AMLBot mener imidlertid, at ondsindede aktører kender til den førnævnte forsinkelse og skaber værktøjer til at udnytte den. “Værktøjer kan programmeres til at overvåge blockchain for specifikke kontraktinteraktioner, såsom submitTransaction() kald knyttet til fryseanmodninger”, fortalte Slava Demchuk, administrerende direktør for AMLBot, til Decrypt. “Botsene kan underrette tegnebogsejere øjeblikket en fryse er iværksat, men før den er håndhævet. Med den forsinkelse, der introduceres af Tethers multisignaturproces, giver dette et smalt, men kritisk vindue for ulovlige aktører til hurtigt at flytte penge.” “Mens vi ikke direkte har observeret botsene selv, antyder on-chain-adfærd stærkt, at en sådan automatisering er i spil”, tilføjede han. PeckShield advarede om, at forsinkelsen er indlejret i, hvordan multisig-konti er designet til at fungere. Simpelthen tager det tid at få flere personer til at underskrive en transaktion, selvom det er påkrævet i nogle tilfælde for at øge sikkerheden. Firmaet foreslog, at Tether kunne samle fryseanmodningen med underskrifterne til en transaktion for at eliminere vinduet. Tether svarede ikke på Decrypts anmodning om kommentar i tide til offentliggørelse; denne artikel vil blive opdateret, når svaret modtages.