Уязвимость блокировки Tether: Аналитики AMLBot выявили лазейку для преступников

Аналитики по блокчейн-технологиям компании AMLBot выявили уязвимость в процедуре заморозки кошельков Tether, которая за шесть лет позволила преступным элементам вывести $78,1 млн.

Суть проблемы заключается в задержке между подачей запроса на блокировку и его фактическим выполнением в сети.

Согласно представленным данным, многослойная процедура одобрения транзакций в Tether создает «шансы на манипуляции»: злоумышленники могут успеть вывести средства до завершения процесса блокировки.

Например, в сети TRON была зафиксирована задержка в 44 минуты — в это время ряд адресов совершал до трех транзакций. Из сети было выведено $49,6 млн, в Ethereum — $28,5 млн.

Представитель Tether в комментарии для издания Decrypt назвал термин «лазейка» неверным, добавив, что компания заблокировала $2,7 млрд незаконно полученных средств.

«Кратковременная задержка является компромиссом для обеспечения безопасности экосистемы с объемом свыше $100 млрд. Мы активно работаем над минимизацией этих рисков», — отметил он.

Кроме того, в Tether подчеркнули, что USDT остается «наиболее отслеживаемым активом», и компания взаимодействует с правоохранительными органами. Эмитент быстрее, чем конкурент Circle, блокировал средства, связанные с взломом Bybit, добавил представитель.

Эксперты PeckShield подтвердили выводы AMLBot, отметив, что проблема не в смарт-контрактах, а в процессах управления. Для ее решения они предложили объединить запрос на заморозку и подписи в одну транзакцию.

В то же время PeckShield предупредили, что задержки являются неизбежной частью работы мультиподписных систем, где требуется согласование нескольких сторон.

Глава AMLBot Слава Демчук предположил, что злоумышленники осведомлены о таких задержках и используют ботов для мониторинга запросов на блокировку:

«Автоматизация позволяет им за считанные секунды выводить средства до завершения процесса заморозки».

Напомним, в апреле Tether приостановил транзакции на сумму $870 000 на трех криптокошельках. Позже эмитент заморозил 28,7 млн USDT на 13 адресах.