Nelle ultime settimane, abbiamo visto un grande aumento di segnalazioni che affermano che "Relay è stato hackerato". Ovviamente, questo è qualcosa che prendiamo molto sul serio e stiamo indagando. TLDR: non ci sono prove che suggeriscano un problema con Relay. Ma c'è assolutamente un'epidemia di portafogli compromessi, di cui tutti dovrebbero essere a conoscenza. Ecco cosa abbiamo trovato, dopo aver esaminato oltre 200 segnalazioni: - Quasi tutte le vittime hanno chiavi private o frasi seed compromesse. Relay consiste in smart contract e un'app web. Nessuno di questi può accedere alla tua chiave privata, anche se venisse hackerato. Tipicamente queste vengono compromesse quando lo storage viene violato (computer, backup cloud, ecc.), o l'utente viene ingannato nel condividerle. - Zero prove che i prodotti ufficiali di Relay siano stati hackerati o coinvolti in una compromissione. - Relay ha oltre 1 milione di utenti mensili. Eppure solo una piccolissima frazione ha avuto problemi. In sintesi, tutto suggerisce che questi utenti siano stati compromessi esternamente. Quindi, perché incolpare Relay? Questo deriva in parte dal fatto che molte vittime non si accorgono di essere state hackerate, fino a quando non usano Relay. Forse non hanno notato un drenaggio precedente, perché è avvenuto in background. O forse l'hacker stava aspettando che il portafoglio avesse fondi sufficienti prima di drenarlo. Quindi, quando usi Relay e i fondi scompaiono immediatamente, è naturale pensare che sia colpa di Relay. Prendi questo esempio: L'utente (0x9b) ha effettuato un bridge con Relay, ma i fondi sono stati inviati a un hacker invece (0xD0). Deve essere colpa di Relay, giusto? No! Quello che è successo qui è che il portafoglio dell'utente è stato delegato a un contratto malevolo 7702, e quel contratto ha una funzione di fallback che invia immediatamente qualsiasi token nativo. L'hacker non ha nemmeno bisogno di effettuare una transazione per drenare l'utente. Succede automaticamente nella stessa transazione in cui i token vengono ricevuti! Se guardi le loro transazioni passate, ecco cosa vedi: 02:56:50 AM = chiamata "check in" su qualche contratto (possibilmente correlato a dove è avvenuto l'hack) 02:56:54 AM = l'account viene drenato...