Een zeldzame positieve wending vond deze week plaats in de crypto, waar een gebruiker zijn fondsen terugkreeg na het verlies van 100 ETH door een bug in de wallet.
De terugvordering is te danken aan de actie van het Safe Wallet-team en de vooruitziende blik van white-hat ontwikkelaars bij Protofire.
100 ETH verloren door wallet-bug: daarna gered in een verbluffende redding
Het incident vond plaats toen de ervaren Ethereum-gebruiker khalo_0x op X (Twitter) probeerde om 100 ETH van het Ethereum Mainnet naar de Base blockchain te verplaatsen. Ze gebruikten de officiële Safe Wallet Bridge-interface.
Bij de huidige koers, met ETH die verhandeld wordt voor $2.635 op het moment van schrijven, was deze overdracht meer dan $263.500 waard.
Onbewust van hem, stond er een kritieke gebruikerservaring bug in de brugtool die de overdracht naar een smart contract wallet toestond die van hem leek te zijn.
Echter, deze wallet werd beheerd door een andere entiteit.
De oorzaak van het probleem lag in Khalo’s gebruik van een verouderde versie van Safe (v1.1.1), geïmplementeerd in 2020. Deze oude versie was van vóór multichain overwegingen en miste de bescherming die nu standaard is in nieuwere versies.
Als gevolg daarvan had een aanvaller, of zo leek het aanvankelijk, eerder een kopie van Khalo’s wallet-adres op Base geïmplementeerd, maar met een andere eigenaarconfiguratie. Hiermee kaapten ze effectief de fondsen zodra ze werden overgedragen.
“Ik verloor mijn spaargeld in één klik met Safe gisteravond. Dat na 8 jaar ETH vasthouden en scams vermijden. Een UX-bug binnen de officiële Bridge-functie impliceerde dat het bestemmingsadres mijn Safe op Base was. Dat was het niet,” beklaagde Khalo zich in een bericht.
De tweet trok de aandacht van de crypto-community, inclusief het Safe-team. Bouwer Tschubotz.eth onderzocht en ontdekte dat het Base-adres dat de overgedragen ETH beheerde, uiteindelijk niet kwaadaardig was.
Verouderde walletversie opende deur voor cross-chain exploit
In plaats daarvan was het geïmplementeerd door Protofire, een white-hat ontwikkelingsbedrijf dat proactief honderden Safe v1.1.1 wallets op Base had geïmplementeerd om te voorkomen dat black-hat aanvallers dat zouden doen.
“In tegenstelling tot EOAs (Externally Owned Accounts), worden smart accounts zoals Safe beheerd door geïmplementeerde smart contract code. Het is technisch mogelijk om een smart account met dezelfde implementatieconfiguratie (dezelfde ondertekenaars) op verschillende chains op hetzelfde adres te implementeren (met counterfactual deployment)… Maar dit geval was anders… De smart account versie van toen (v1.1.1.) was nog niet geschreven met multichain in gedachten, dus het was mogelijk voor iedereen om een smart account op een andere chain te implementeren met een volledig andere configuratie op hetzelfde adres,” legde Safe medeoprichter Lukas Schor uit.
Na verificatie van Khalo’s identiteit, gaf Protofire onmiddellijk de volledige 100 ETH terug. Een succesvolle volledige overdracht volgde na een testtransactie, waarmee de crisis slechts enkele uren na het begin werd opgelost.
“Dit is een van de coolste crypto-verhalen die ik in lange tijd heb gezien,” zei Haseeb Qureshi, Managing Partner bij Dragonfly.
Het incident benadrukt de dringende noodzaak voor betere gebruikersbescherming naarmate crypto wallets zich ontwikkelen in multichain ecosystemen.
De bijgewerkte versie van Safe v1.2.0 bevat nu bescherming tegen dit soort exploits door te veranderen hoe de CREATE2 salt wordt berekend tijdens contractimplementatie.
De brugtool is ook geüpgraded om waarschuwingen te geven als er conflicterende smart contract code bestaat op het bestemmingsadres.
Toch is het incident een nuchtere herinnering dat gebruikers kwetsbaar blijven voor subtiele, niet voor de hand liggende bugs.
“…we zijn nog steeds op een punt waar gebruikers worden verwacht testtransacties te doen voordat ze grotere fondsen verplaatsen.,” voegde Schor toe.
Ondanks het aanvankelijke trauma eindigde Khalo’s verhaal met zijn fondsen hersteld.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
