Co je Transaction Replacement Attack?
Transaction Replacement Attack nastane, když někdo pošle kryptoplatbu a pak rychle zveřejní jinou verzi téže transakce se změněnými údaji dříve, než se potvrdí. Cílem je oklamat toho, kdo přijme první čekající platbu. Představte si, že při pokladně slíbíte hotovost a pak se vrátíte vyměnit bankovky, zatímco pokladní se dívá jinam.
Pokud se transakce zobrazuje jako čekající, je bezpečné ji považovat za zaplacenou. Ne zcela. Dokud ji těžař nezařadí do bloku, mohou se stále stát výměny a Transaction Replacement Attack může obrátit výsledek.
Jak Transaction Replacement Attack funguje
Rychlý průběh s jednoduchým příkladem platby.
- Krok 1: Útočník vám pošle platbu s nízkým poplatkem. Vidíte ji jako čekající a máte pocit, že je vše v pořádku.
- Krok 2: Před potvrzením útočník vytvoří novou transakci, která utratí ty samé prostředky, často pomocí Replace by Fee (RBF) nebo opětovným odesláním se stejným nonce na sítích založených na účtech.
- Krok 3: Náhradní transakce nabídne vyšší poplatek a je pro těžaře atraktivnější, takže se vytěží a první verze je vyřazena.
- Krok 4: To je snazší při velkém přetížení sítě, kdy těžaři upřednostňují vyšší poplatky.
- Krok 5: Vy vydáte zboží nebo službu na základě čekající platby a nakonec nedostanete zaplaceno, jakmile řetězec potvrdí náhradní transakci.
To je ten krok. Jednoduché, trochu lstivé a lze tomu předejít.
Proč má Transaction Replacement Attack význam
Proč by vás to mělo zajímat, ať už provozujete pokladní systém nebo jen posíláte mince kamarádovi.
- Výhoda: Mechanismus nahrazení umožňuje poctivým uživatelům urychlit zaseknuté platby zvýšením poplatku, což se hodí, když potřebujete rychlé potvrzení.
- Pohled: Ty samé nástroje, které vám pomáhají, mohou být zneužity proti vám, pokud spoléháte na čekající platbu za zboží nebo přístup.
- Výskyt: S tímto se setkáte u pokladních systémů, mintování NFT, OTC obchodů a kdekoli, kde lidé přijímají čekající transakce.
Používejte kryptoměnovou peněženku, která jasně označuje transakce, jež lze nahradit, a ukazuje počet potvrzení. U plateb požadujte několik potvrzení, než vydáte cokoli důležitého.
Klíčové vlastnosti Transaction Replacement Attack
Co to odlišuje, stručně:
- Časování: Děje se před potvrzením, zatímco je transakce stále v mempoolu.
- Motivace: Vyšší poplatek nebo výhodnější podmínky lákají těžaře nebo validátory, aby zahrnuli náhradní transakci místo původní.
- Signály: Některé transakce jsou označeny jako nahraditelné a na sítích založených na účtech je možné nahrazení se stejným nonce.
- Cíl: Obchodníci nebo protějšky, kteří přijímají čekající platby, jsou snadným cílem.
Varianty
Stejný princip, mírně odlišné mechanismy podle sítě.
- RBF: Odesílatel označí platbu jako nahraditelnou a později zveřejní verzi s vyšším poplatkem, která změní výstup nebo příjemce.
- Výměna nonce: Na sítích založených na účtech uživatel znovu odešle transakci se stejným nonce, ale s vyšším gasem, což zruší nebo změní původní záměr.
- Trik s refundací: Odesílatel nejprve zaplatí obchodníkovi, pak nahradí čekající platbu verzí, která posílá prostředky zpět na adresu, kterou ovládá.
Neberte platbu jako konečnou, dokud váš uzel neoznačí transakci jako vyřízenou. Transaction Replacement Attack ztrácí účinek po řádných potvrzeních.
Příklad
Kavárna přijme čekající platbu za latté, kupující okamžitě zveřejní náhradní transakci s vyšším poplatkem, která pošle prostředky jinam, a barista si později uvědomí, že kupující zneužíval nahraditelnost.
Zajímavost
Zvýšení poplatku bylo zavedeno, aby poctivým uživatelům pomohlo zachránit zaseknuté transakce, dávno předtím než se z toho stal mem o klamání. Jako u mnoha technologických kroků záleží na tom, kdo drží klíče může to vypadat jako Rolex i jako vlákna na fóru.
Shrnutí
Krátce: neodesílejte zboží na základě „možná“. Počkejte jeden nebo dva bloky, pak můžete být v klidu.