$10 Cuộc tấn công lừa đảo triệu đô: Hacker chuyển ETH bị đánh cắp đến Tornado Cash

Trong một sự cố an ninh mạng đáng kể, một hacker đã chuyển $10 triệu đô la Ether từ một cuộc tấn công lừa đảo vào tháng 9 năm 2023 đến dịch vụ trộn tiền điện tử Tornado Cash, làm nổi bật những thách thức an ninh đang diễn ra trong lĩnh vực tài sản kỹ thuật số.

Chi tiết tấn công và di chuyển quỹ

Vào ngày 21 tháng 3, công ty an ninh blockchain CertiK đã xác định rằng một tài khoản liên kết với một vụ trộm tiền điện tử lớn đã chuyển 3,700 ETH đến Tornado Cash. Những khoản tiền này là một phần của vụ trộm lớn hơn $24 triệu USD đã xảy ra qua một cuộc tấn công lừa đảo tinh vi vào ngày 6 tháng 9 năm 2023.

Nạn nhân, được mô tả là một "cá voi" tiền điện tử (, một cá nhân nắm giữ tài sản kỹ thuật số đáng kể ), đã mất tiền của họ trong một cuộc tấn công hai giai đoạn. Ban đầu, 9,579 stETH đã bị loại bỏ, tiếp theo là 4,851 rETH—cả hai token đại diện cho Ethereum đã được đặt cọc thông qua dịch vụ đặt cọc thanh khoản Rocket Pool.

Mô hình dòng tiền sau khi bị hack:

• Chuyển đổi tài sản bị đánh cắp thành 13,785 Ether
• Chuyển đổi thêm tài sản thành 1.64 triệu Dai
• Chuyển một số DAI đến sàn FixedFload
• Phân phối số tiền bị đánh cắp còn lại qua nhiều ví

Phân Tích Kỹ Thuật Về Lỗ Hổng

Cuộc tấn công đã thành công thông qua việc lợi dụng các cơ chế phê duyệt token. Theo dự án phát hiện gian lận Scam Sniffer, nạn nhân đã ủy quyền một giao dịch "Tăng Giới Hạn", cho phép kẻ tấn công phê duyệt các token cho việc sử dụng của riêng họ.

Lợi dụng lỗ hổng này khai thác tính năng tiêu chuẩn ERC-20 cho phép bên thứ ba chi tiêu token thuộc sở hữu của người khác—nhưng chỉ khi có sự ủy quyền thích hợp. Thật không may, trong các tình huống lừa đảo, nạn nhân vô tình cung cấp ủy quyền này thông qua các giao diện hoặc giao dịch đánh lừa.

Sự cố đã gây ra nhiều cuộc thảo luận đáng kể trong các vòng tròn an ninh tiền điện tử về những rủi ro tiềm ẩn liên quan đến việc phê duyệt hợp đồng thông minh, điều này có thể bị triển khai độc hại cho các mục đích gian lận.

Cảnh Quan An Ninh Rộng Hơn

Các cuộc tấn công lừa đảo vẫn là một mối đe dọa liên tục đối với những người nắm giữ tiền điện tử. Một báo cáo gần đây từ Scam Sniffer đã tiết lộ rằng gần $47 triệu đã bị mất chỉ trong tháng Hai do các kế hoạch liên quan đến lừa đảo, với 78% xảy ra trên mạng Ethereum. Các token ERC-20 chiếm 86% tổng số tiền bị đánh cắp.

Ngành tiền điện tử đã chứng kiến một số sự cố an ninh đáng kể khác gần đây:

• Vào ngày 20 tháng 3, một hợp đồng lỗi thời được sử dụng trước đó bởi sàn giao dịch Dolomite đã bị khai thác, dẫn đến việc 1,8 triệu đô la bị rút khỏi người dùng đã cấp phép cho hợp đồng.

• Ngày hôm đó, đội ngũ Layerswap đã thành công trong việc ngăn chặn thiệt hại tiếp theo sau khi trang web của họ bị xâm phạm, mặc dù tin tặc vẫn quản lý để đánh cắp khoảng 100,000 từ khoảng 50 người dùng. Layerswap đã hứa hoàn tiền cho những người dùng bị ảnh hưởng và cung cấp thêm khoản bồi thường.

Hệ quả bảo mật cho những người nắm giữ tài sản kỹ thuật số

Những sự cố này nhấn mạnh tầm quan trọng thiết yếu của việc cảnh giác khi ủy quyền các tương tác hợp đồng thông minh và phê duyệt token. Việc khai thác các chức năng phê duyệt token cho thấy cách mà những kẻ tấn công có thể tận dụng các tính năng hợp pháp của blockchain cho những mục đích xấu.

Các nền tảng giao dịch chuyên nghiệp và các chuyên gia bảo mật khuyến nghị thực hiện kiểm toán bảo mật định kỳ về quyền truy cập ví và phê duyệt token. Người dùng nên định kỳ xem xét và thu hồi các quyền hợp đồng không cần thiết để giảm thiểu bề mặt tấn công.

Khi các cuộc tấn công lừa đảo tinh vi tiếp tục nhắm vào những người nắm giữ tiền điện tử, việc hợp tác giữa các công ty bảo mật, các nền tảng giao dịch và người dùng trở nên ngày càng quan trọng để phát triển các cơ chế bảo vệ và giao thức bảo mật nâng cao cho hệ sinh thái tài sản kỹ thuật số.