Компания World Liberty Financial заявила о том, что заблокировала в смарт-контрактах токена WLFI 50 адресов по запросу владельцев этих адресов, заявивших об их компрометации.
Представьте себе, что вы узнали о компрометации вашего адреса. Что вы будете делать: быстро переведёте всё с этого адреса (куда угодно, хоть на биржу - лишь бы взломщику не досталось) или будете обращаться в поддержку WLFI для блокировки адреса?
Я зашёл на сайт WLFI и попытался понять, как связаться с их службой поддержки. Я привык, что связь с поддержкой осуществляется просто, как на rabbit.io: нажал на кнопку лайв-чата в правом нижнем углу страницы, и всё, ты уже в чате; можно быстро задать вопрос и быстро получить ответ. Но на сайте WLFI такого нет. Есть кнопка Contact us, но она оформлена так, что вряд ли кому-то придёт в голову использовать её для связи с поддержкой (см. скриншот).
А ведь после того как найдёшь способ обратиться в поддержку, нужно же ещё доказать, что адрес твой: подписать сообщение ключом от этого адреса или отправить транзакцию... В общем, гораздо проще было бы самостоятельно вывести всё с адреса, чем обращаться куда-то за его блокировкой.
И тем не менее, за 5 дней так было заблокировано 50 адресов. Как такое может быть? У меня два предположения:
- Скомпрометированными оказались адреса инсайдеров, имеющих возможность по звонку или даже лично внести изменения в смарт-контракт для блокировки.
- Это какая-то изощрённая атака. Хакер получает доступ к чужому кошельку с токенами WLFI, но не забирает содержимое себе, а обращается к эмитенту, доказывает, что обладает приватным ключом, и просит заблокировать кошелёк. WLFI идёт ему навстречу.
По-моему, и в том, и в другом случае это бросает тень на безопасность использования WLFI.
Может быть, у вас есть другие идеи насчёт того, как могли быть осуществлены такие блокировки?
