Появилась новая уязвимость, использующая механизм нулевых переводов в токен-контрактах, позволяющая злоумышленникам обманывать пользователей, инициируя транзакции с нулевой стоимостью. Уязвимость использует функцию TransferFrom, которая не требует, чтобы сумма перевода была больше нуля, что позволяет злоумышленникам инициировать события перевода с любого пользовательского аккаунта без авторизации. Этот метод используется для затопления активных пользователей операциями с нулевыми переводами, создавая вводящие в заблуждение истории транзакций. В одном случае фишинговый контракт выполнил транзакцию, нацеленную на сотни адресов кошельков с нулевыми переводами. Когда целевой кошелек осуществил законный перевод USDT, за ним немедленно последовало множество последующих транзакций, еще больше загрязняющих историю транзакций. Злоумышленники полагаются на то, что пользователи ошибочно копируют похожие адреса кошельков из своей истории транзакций, что потенциально может привести к ошибочным переводам.