Основатель Uniswap обнаружил новую схему скама с ENS-доменами
Просмотров: 4
Биржи на которых я торгую:
Создатель DEX Uniswap Хайден Адамс рассказал о новом векторе атак на пользователей криптовалют с помощью Ethereum Name Service (ENS).
first time I've seen this scam, so posting it as a heads up for users and interfaces
— hayden.eth 🦄 (@haydenzadams) February 14, 2024
someone bought the ens "[myEthereumAddress].eth"
so when you paste in my address, the top result in some UIs is an ens match instead of the resolved ENS name
impt for UIs to filter these out pic.twitter.com/0cQAL5tQ0T
Предприниматель обнаружил, что кто-то купил ENS-домен в виде его Ethereum-адреса 0x11E4857Bb9993a50c685A79AFad4E6F65D518DDa.
В результате в некоторых интерфейсах предпочтительным вариантом при поиске оказывается имя 0x11E4857Bb9993a50c685A79AFad4E6F65D518DDa.eth, к которому привязан совсем другой кошелек.
ENS-домены позволяют использовать удобно читаемые адреса вместо многозначных номеров. Так, у самого Хайдена это hayden.eth, а, например, у основателя Ethereum Виталика Бутерина — vitalik.eth.
«Забавный факт: именно из-за этого возможного вектора скама мы изначально закрыли регистрацию и разрешения для всех адресов 0x еще в ранние дни MEW», — прокомментировала Тейлор Монахан из MetaMask, ранее входившая в команду кошелька MyEtherWallet.
cc @nicksdjohnson @spencecoin
— Tay 💖 (@tayvano_) February 14, 2024
fun fact: this scam vector is why we originally broke registrations & resolutions for all 0x… names in the early MEW days (in addition to rugging a slew of vanilla js hex handling bugs/vulns)
Ведущий разработчик ENS Ник Джонсон из Ethereum Foundation отметил, что интерфейсы в принципе не должны автоматически заполнять поле адреса, поскольку это «слишком опасно».
«Думаю, что мы не советуем этого делать в наших рекомендациях по UX», — добавил он.
IMO, interfaces shouldn't autocomplete names at all; it's far too dangerous. I think we advise against it in our UX guidelines.
— nick.eth (@nicksdjohnson) February 14, 2024
Напомним, в июле 2023 года злоумышленники получили контроль над Twitter-аккаунтом Адамса для размещения фишинговых ссылок, связанных с Россией.