W ostatnich tygodniach zauważyliśmy znaczny wzrost twierdzeń, że „Relay został zhakowany”. Oczywiście, jest to coś, co traktujemy bardzo poważnie i prowadzimy dochodzenie. TLDR: nie ma dowodów sugerujących problem z Relay. Ale zdecydowanie istnieje epidemia skompromitowanych portfeli, o której wszyscy powinni być świadomi. Oto, co odkryliśmy po zbadaniu ponad 200 zgłoszeń: - Prawie wszyscy poszkodowani mieli skompromitowane klucze prywatne lub frazy seed. Relay składa się z inteligentnych kontraktów i aplikacji webowej. Żaden z tych elementów nie ma dostępu do twojego klucza prywatnego, nawet jeśli zostałyby zhakowane. Zazwyczaj te informacje wyciekają, gdy dochodzi do włamania do pamięci (komputer, kopia zapasowa w chmurze itp.), lub użytkownik zostaje oszukany, aby je udostępnić. - Zero dowodów na to, że oficjalne produkty Relay zostały zhakowane lub są zaangażowane w kompromitację. - Relay ma ponad 1 milion użytkowników miesięcznie. A jednak tylko niewielki ułamek miał problemy. Podsumowując, wszystko sugeruje, że ci użytkownicy zostali skompromitowani zewnętrznie. Więc dlaczego obwiniać Relay? Częściowo wynika to z faktu, że wielu poszkodowanych nie zauważa, że zostali zhakowani, dopóki nie użyją Relay. Może nie zauważyli wcześniejszego wyczerpania, ponieważ miało to miejsce w tle. Albo może haker czekał, aż portfel będzie miał wystarczające środki, zanim go wyczyści. Więc kiedy używasz Relay, a środki natychmiast znikają, naturalne jest myślenie, że to wina Relay. Weź ten przykład: Użytkownik (0x9b) połączył się z Relay, ale środki zostały wysłane do hakera (0xD0). To musi być wina Relay, prawda? Nie! Co się tutaj wydarzyło, to to, że portfel użytkownika został delegowany do złośliwego kontraktu 7702, a ten kontrakt ma funkcję zwrotną, która natychmiast wysyła wszelkie natywne tokeny. Haker nie musi nawet przeprowadzać transakcji, aby wyczyścić użytkownika. Dzieje się to automatycznie w tej samej transakcji, w której tokeny są odbierane! Jeśli spojrzysz na ich wcześniejsze transakcje, to zobaczysz: 02:56:50 AM = wywołanie „check in” na jakimś kontrakcie (prawdopodobnie związanym z miejscem, gdzie doszło do włamania) 02:56:54 AM = konto zostało wyczyszczone...