根据AMLBot的一份新报告,交易所声称要冻结恶意地址的USDT与实际冻结之间存在"显著滞后"。
AMLBot的报告发现,对Tether的USDT稳定币的链上冻结执行一直较为缓慢。因此,这家反洗钱公司表示,自2017年以来,在以太坊和Tron上已有至少7800万美元被不法分子获取。
AMLBot在报告中解释,这个"洗钱漏洞"是由Tether的多重签名合约设置造成的。
首先,会发送一个链上冻结请求,该请求需要多个签名批准后才能执行。因此,这就为不法分子在地址被冻结前转移资金创造了"机会之窗"。
报告中提供的一个例子显示,在Tron上冻结请求和确认之间存在44分钟的延迟。
AMLBot声称,由于这一漏洞,自2017年以来已有4960万美元被不法分子在Tron网络上提取。在延迟窗口期间,钱包能够进行多达三笔交易,其中4.88%的被列入黑名单的钱包利用了网络上的滞后。
与此同时,在以太坊上,该公司发现在同一时间范围内被提取的USDT为2850万美元。两个链上总计为7810万美元。
安全公司PeckShield审查了该报告,并确认这一漏洞确实存在。
"这并不一定表明合约本身存在问题。相反,这是一个操作性问题,在黑名单交易提交和执行之间创造了一个时间窗口,"PeckShield的一位发言人告诉Decrypt。"鉴于问题的安全敏感性,改进确实是必要的。"
Tether是加密领域最大的稳定币USDT的发行方,其目标是将价格锚定在美元。如果地址与非法活动相关,如与今年早些时候钱包相连的Bybit黑客事件中的14亿美元,该公司会将这些地址列入黑名单。
被列入黑名单意味着该地址不能再移动Tether发行的资产,实际上使这些代币变得毫无价值。
然而,AMLBot认为不法分子知道上述滞后,并正在创建工具来利用这一漏洞。
"可以对工具进行编程,以监控区块链上的特定合约交互,如与冻结请求相关的submitTransaction()调用,"AMLBot的CEO 斯拉瓦·德姆丘克告诉Decrypt。"这些机器人可以在冻结被执行之前,在冻结发起的那一刻提醒钱包所有者。考虑到Tether多重签名过程带来的延迟,这为不法分子快速转移资金提供了一个狭窄但关键的窗口。"
"虽然我们尚未直接观察到这些机器人,但链上行为强烈暗示此类自动化正在运作,"他补充道。
PeckShield警告称,这种滞后是多重签名账户设计功能的固有特性。简单来说,尽管在某些情况下需要多人签名以提高安全性,但这仍需要时间。该公司建议Tether可以将冻结请求与签名捆绑成一个交易,以消除这个窗口。
Tether未能及时回复Decrypt的评论请求,本文将在收到回复后更新。
