Блокчейн-аналитики AMLBot обнаружили уязвимость в процедуре заморозки кошельков Tether, которая за шесть лет позволила преступникам вывести $78,1 млн.
Проблема связана с задержкой между запросом на блокировку и ее исполнением в сети.
Согласно отчету, многошаговая процедура одобрения транзакций в Tether создает «окно возможностей»: злоумышленники успевают перевести средства до активации блокировки.
Например, в TRON зафиксирована задержка в 44 минуты — за это время некоторые адреса совершали до трех транзакций. В сети вывели $49,6 млн, в Ethereum — $28,5 млн.
Представитель Tether в комментарии изданию Decrypt назвал термин «лазейка» некорректным, подчеркнув, что компания заблокировала $2,7 млрд незаконных активов.
«Кратковременная задержка — компромисс для безопасности экосистемы с объемом свыше $100 млрд. Мы работаем над устранением рисков», — заявил он.
В Tether напомнили, что USDT остается «самым отслеживаемым активом», а компания сотрудничает с правоохранителями. Эмитент оперативнее конкурента Circle блокировал средства, связанные со взломом Bybit, подчеркнул представитель.
Эксперты PeckShield подтвердили выводы AMLBot, отметив, что проблема связана не с кодом смарт-контрактов, а с операционными процессами. Для ее решения они предложили объединять запрос на заморозку и подписи в одну транзакцию.
При этом в PeckShield предупредили: задержки — неизбежная часть работы мультиподписных систем, где требуется согласование нескольких сторон.
Глава AMLBot Слава Демчук предположил, что злоумышленники знают о вышеупомянутой задержке и используют ботов для отслеживания запросов на блокировку:
«Автоматизация позволяет за секунды выводить средства до подтверждения заморозки».
Напомним, в апреле Tether остановил движение $870 000 на трех криптокошельках.
Позднее эмитент заморозил 28,7 млн USDT на 13 адресах.
https://forklog.com/news/amlbot-vyyavil ... kov-tether
