根據AMLBot的一份新報告,交易所聲稱要凍結惡意地址的USDT與實際凍結之間存在"顯著滯後"。
AMLBot的報告發現,對Tether的USDT穩定幣的鏈上凍結執行一直較為緩慢。因此,這家反洗錢公司表示,自2017年以來,在以太坊和Tron上已有至少7800萬美元被不法分子獲取。
AMLBot在報告中解釋,這個"洗錢漏洞"是由Tether的多重簽名合約設定造成的。
首先,會發送一個鏈上凍結請求,該請求需要多個簽名批准後才能執行。因此,這就為不法分子在地址被凍結前轉移資金創造了"機會之窗"。
報告中提供的一個例子顯示,在Tron上凍結請求和確認之間存在44分鐘的延遲。
AMLBot聲稱,由於這一漏洞,自2017年以來已有4960萬美元被不法分子在Tron網路上提取。在延遲視窗期間,錢包能夠進行多達三筆交易,其中4.88%的被列入黑名單的錢包利用了網路上的滯後。
與此同時,在以太坊上,該公司發現在同一時間範圍內被提取的USDT為2850萬美元。兩個鏈上總計為7810萬美元。
安全公司PeckShield審查了該報告,並確認這一漏洞確實存在。
"這並不一定表明合約本身存在問題。相反,這是一個操作性問題,在黑名單交易提交和執行之間創造了一個時間視窗,"PeckShield的一位發言人告訴Decrypt。"鑑於問題的安全敏感性,改進確實是必要的。"
Tether是加密領域最大的穩定幣USDT的發行方,其目標是將價格錨定在美元。如果地址與非法活動相關,如與今年早些時候錢包相連的Bybit駭客事件中的14億美元,該公司會將這些地址列入黑名單。
被列入黑名單意味著該地址不能再移動Tether發行的資產,實際上使這些代幣變得毫無價值。
然而,AMLBot認為不法分子知道上述滯後,並正在建立工具來利用這一漏洞。
"可以對工具進行程式設計,以監控區塊鏈上的特定合約互動,如與凍結請求相關的submitTransaction()呼叫,"AMLBot的CEO 斯拉瓦·德姆丘克告訴Decrypt。"這些機器人可以在凍結被執行之前,在凍結髮起的那一刻提醒錢包所有者。考慮到Tether多重簽名過程帶來的延遲,這為不法分子快速轉移資金提供了一個狹窄但關鍵的視窗。"
"雖然我們尚未直接觀察到這些機器人,但鏈上行為強烈暗示此類自動化正在運作,"他補充道。
PeckShield警告稱,這種滯後是多重簽名賬戶設計功能的固有特性。簡單來說,儘管在某些情況下需要多人簽名以提高安全性,但這仍需要時間。該公司建議Tether可以將凍結請求與簽名捆綁成一個交易,以消除這個視窗。
Tether未能及時回覆Decrypt的評論請求,本文將在收到回覆後更新。
