Signifikant Forsinkelse i Tethers Frysemetode
Der er en “signifikant forsinkelse” mellem udvekslinger, der påstår, at de vil fryse USDT, som holdes af ondsindede adresser, og den faktiske handling ifølge en ny rapport fra AMLBot. Rapporten viser, at den on-chain håndhævelse af Tethers frysemetode for USDT stablecoin har været langsommelig.
Som følge heraf rapporterer det anti-hvidvaskningsagentur, at mindst $78 millioner er blevet mistet til kriminelle aktører på Ethereum og Tron siden 2017. Det “hvidvaskningshul”, der er blevet påpeget, er et resultat af Tethers multisignaturkontraktopsætning, ifølge AMLBot.
Fryseprocessens Udfordringer
En fryseanmodning sendes først on-chain, hvorefter den kræver flere signaturer for at blive godkendt, før anmodningen kan eksekveres. Dette skaber et “vindue af mulighed”, der giver ondsindede aktører mulighed for at flytte midler, inden deres adresse fryses.
Et eksempel fra rapporten understreger en 44 minutters forsinkelse mellem fryseanmodningen og bekræftelsen på Tron.
AMLBot hævder, at $49,6 millioner er blevet trukket tilbage af kriminelle aktører på Tron-netværket siden 2017 som følge af denne sårbarhed, da tegnebøger kunne gennemføre op til tre transaktioner i den forsinkede periode. Desuden fandt firmaet, at $28,5 millioner USDT blev trukket tilbage fra Ethereum inden for samme tidsramme, hvilket bringer det samlede beløb op på $78,1 millioner på tværs af de to kæder.
Eksperternes Vurdering
Sikkerhedsfirmaet PeckShield har gennemgået rapporten og bekræftet, at problemet eksisterer. “Det indikerer ikke nødvendigvis et problem med selve kontrakten. Snarere er det et driftsproblem, der skaber et tidsvindue mellem, hvornår blacklist-transaktionen indsendes, og hvornår den eksekveres,” sagde en talsperson fra PeckShield til Decrypt. “Givet den sikkerhedssensitive karakter af problemet er der bestemt behov for forbedringer.”
Tether er udgiveren af den største stablecoin i kryptovaluta, USDT, der har til hensigt at knytte sin pris til den amerikanske dollar. Virksomheden sortlister adresser fra at handle med deres produkter, hvis de er involveret i ulovlig aktivitet, såsom tegnebøger relateret til det $1,4 milliarder Bybit-hack tidligere på året.
Muligheder for Forbedring
At være sortlistet betyder, at adressen ikke længere kan flytte Tether-udstedte aktiver, hvilket effektivt gør tokens værdiløse. Dog mener AMLBot, at kriminelle aktører er opmærksomme på nævnte forsinkelse og skaber værktøjer til at udnytte denne. “Værktøjer kan programmeres til at overvåge blockchain for specifikke kontrakthandlinger, såsom submitTransaction-kald, der er knyttet til fryseanmodninger,” sagde Slava Demchuk, CEO for AMLBot, til Decrypt.
“Bottet kan give tegnebogsejere besked, i det øjeblik en fryseanmodning initieres, men inden den håndhæves. Givet forsinkelsen, der introduceres af Tethers multisignaturproces, skaber dette et snævert, men kritisk vindue for ulovlige aktører til hurtigt at flytte midler.”
“Selvom vi ikke direkte har observeret bottet, indikerer den on-chain adfærd stærkt, at sådan automatisering er i spil,” tilføjede han.
PeckShield advarede om, at forsinkelsen er iboende i, hvordan multisig-konti er designet til at fungere. Kort sagt tager det tid at få flere personer til at underskrive en transaktion, selvom det i nogle tilfælde er nødvendigt for at øge sikkerheden.
Firmaet foreslog, at Tether kunne kombinere fryseanmodningen og signaturerne i én transaktion for at eliminere vinduet.
Afventende Kommentar fra Tether
Tether har ikke svaret på Decrypts anmodning om kommentar inden for fristen for offentliggørelse, og denne artikel vil blive opdateret, når svar er modtaget.
