$10 Мільйонна Фішинг Атака: Хакер Переводить Викрадені ETH до Tornado Cash

У значній кібербезпековій події хакер перемістив $10 мільйонів вартості Етеру з фішингової атаки вересня 2023 року до сервісу змішування криптовалюти Tornado Cash, підкреслюючи постійні виклики безпеки у сфері цифрових активів.

Деталі атаки та рух коштів

21 березня компанія з безпеки блокчейну CertiK виявила, що обліковий запис, пов'язаний з великим крадіжкою криптовалюти, перевів 3,700 Етер до Tornado Cash. Ці кошти були частиною більшої крадіжки $24 мільйон, яка сталася в результаті складної фішингової атаки 6 вересня 2023 року.

Жертва, описана як "кит" криптовалюти (, індивід, що володіє значними цифровими активами ), втратила свої кошти в атаці, що складалася з двох фаз. Спочатку було вилучено 9,579 stETH, а потім 4,851 rETH — обидва токени, які представляють собою стейкований Етер через сервіс ліквідного стейкінгу Rocket Pool.

Модель руху коштів після зламу:

• Конверсія вкрадених активів у 13,785 Етер
• Додаткове перетворення активів у 1,64 мільйона Dai
• Переведення деякої кількості DAI на біржу FixedFload
• Розподіл залишкових вкрадених коштів між кількома гаманцями

Технічний аналіз порушення

Атака вдалася через експлуатацію механізмів схвалення токенів. Згідно з проектом виявлення шахрайства Scam Sniffer, жертва авторизувала транзакцію "Збільшити дозволи", що дозволило зловмиснику схвалити токени для власного використання.

Ця експлуатація використовує стандартну функціональність ERC-20, яка дозволяє третім особам витрачати токени, що належать іншим, але лише за умови належної авторизації. На жаль, у сценаріях фішингу жертви ненавмисно надають цю авторизацію через оманливі інтерфейси або транзакції.

Інцидент викликав значні обговорення в колах безпеки криптовалюти щодо потенційних ризиків, пов'язаних з ухваленням смарт-контрактів, які можуть бути зловмисно використані для шахрайських цілей.

Ширша безпекова ситуація

Атаки фішингу залишаються постійною загрозою для власників криптовалют. Нещодавній звіт від Scam Sniffer виявив, що майже $47 мільйон був втрачений лише в лютому через схеми, пов'язані з фішингом, причому 78% з них відбулися в мережі Етер. Токени ERC-20 становили 86% усіх вкрадених коштів.

Сектор криптовалют нещодавно зазнав кількох інших значних інцидентів безпеки:

• 20 березня було використано застарілий контракт, раніше використаний біржею Dolomite, в результаті чого з користувачів, які надали згоду на контракт, було виведено 1,8 мільйона доларів.

• Того ж дня команда Layerswap успішно запобігла подальшому збитку після компрометації їхнього вебсайту, хоча хакери все ж змогли вкрасти приблизно $100,000 у близько 50 користувачів. Layerswap пообіцяла відшкодувати постраждалим користувачам і надати додаткову компенсацію.

Вплив безпеки на власників цифрових активів

Ці інциденти підкреслюють критичну важливість пильності при авторизації взаємодій зі смарт-контрактами та схвалення токенів. Використання функцій схвалення токенів демонструє, як зловмисники можуть використовувати легітимні функції блокчейну для зловмисних цілей.

Професійні торгові платформи та експерти з безпеки рекомендують регулярні аудити безпеки прав гаманців та затверджень токенів. Користувачі повинні періодично переглядати та відкликати непотрібні дозволи контрактів, щоб мінімізувати поверхні атаки.

Оскільки складні фішингові атаки продовжують націлюватися на власників криптовалюти, співпраця між компаніями з безпеки, торговими платформами та користувачами стає все більш важливою для розробки покращених механізмів захисту та протоколів безпеки для екосистеми цифрових активів.