In de afgelopen weken hebben we een grote toename gezien van claims dat "Relay is gehackt". Dit is uiteraard iets dat we zeer serieus nemen en waar we onderzoek naar hebben gedaan. TLDR: er is geen bewijs dat er een probleem is met Relay. Maar er is absoluut een epidemie van gecompromitteerde wallets, waar iedereen zich bewust van moet zijn. Hier is wat we hebben gevonden, na het onderzoeken van meer dan 200 meldingen: - Bijna alle slachtoffers hebben gecompromitteerde privésleutels of seed phrases. Relay bestaat uit slimme contracten en een webapp. Geen van beiden kan toegang krijgen tot je privésleutel, zelfs niet als ze gehackt zouden worden. Typisch lekken deze wanneer opslag wordt gehackt (computer, cloudback-up, enz.), of de gebruiker wordt misleid om ze te delen. - Geen bewijs dat officiële Relay-producten zijn gehackt of betrokken zijn bij een compromis. - Relay heeft meer dan 1 miljoen maandelijkse gebruikers. En toch heeft slechts een heel klein percentage problemen ondervonden. Samenvattend, alles wijst erop dat deze gebruikers extern zijn gecompromitteerd. Dus, waarom de schuld bij Relay leggen? Dit komt deels voort uit het feit dat veel slachtoffers niet merken dat ze zijn gehackt, totdat ze Relay gebruiken. Misschien hebben ze een eerdere afroming niet opgemerkt, omdat deze op de achtergrond plaatsvond. Of misschien wachtte de hacker tot de wallet voldoende middelen had voordat deze werd afgetapt. Dus wanneer je Relay gebruikt en de middelen onmiddellijk verdwijnen, is het natuurlijk om te denken dat Relay de schuldige is. Neem dit voorbeeld: De gebruiker (0x9b) heeft een brug gemaakt met Relay, maar de middelen werden in plaats daarvan naar een hacker gestuurd (0xD0). Het moet wel de schuld van Relay zijn, toch? Nee! Wat hier gebeurde, is dat de wallet van de gebruiker werd gedelegeerd aan een kwaadaardig 7702-contract, en dat contract heeft een fallback-functie die onmiddellijk alle native tokens verzendt. De hacker hoeft zelfs geen transactie uit te voeren om de gebruiker af te romen. Het gebeurt automatisch in dezelfde transactie waarin de tokens worden ontvangen! Als je naar hun eerdere transacties kijkt, zie je dit: 02:56:50 AM = call "check in" op een contract (mogelijk gerelateerd aan waar de hack plaatsvond) 02:56:54 AM = account wordt afgetapt...