$10 百萬網絡釣魚攻擊：黑客將被盜的姨太轉移到旋風現金

在一起重大的網路安全事件中，一名黑客將$10 千美元的以太從2023年9月的網絡釣魚攻擊中轉移到加密貨幣混合服務Tornado Cash，突顯了數字資產領域持續存在的安全挑戰。

攻擊詳情和資金流動

在3月21日，區塊鏈安全公司CertiK發現與一起重大數字資產盜竊相關的一個帳戶已將3,700以太轉移至Tornado Cash。這些資金是2023年9月6日通過一次復雜的網絡釣魚攻擊發生的$24 百萬盜竊的一部分。

受害者被描述爲一名加密貨幣"鯨魚" (，持有大量數字資產)，在一次兩階段攻擊中失去了資金。最初，9,579 stETH 被提取，隨後是 4,851 rETH——這兩種代幣代表通過 Rocket Pool 流動性質押服務質押的以太。

黑客攻擊後的資金流動模式：

• 將被盜資產轉換爲13,785 以太
• 額外將資產轉換爲164萬Dai
• 轉移一些DAI到FixedFload交易所
• 將剩餘被盜資金分配到多個錢包中

違規的技術分析

攻擊通過利用代幣授權機制成功實施。根據詐騙檢測項目 Scam Sniffer，受害者授權了一筆 "Increase Allowance" 交易，這使得攻擊者能夠批準代幣供其自行使用。

這種利用利用了標準的 ERC-20 功能，允許第三方在獲得適當授權的情況下使用他人擁有的代幣。然而，在網絡釣魚場景中，受害者在不知情的情況下通過欺騙性界面或交易提供了這種授權。

此事件在加密貨幣安全圈內引發了關於與智能合約批準相關的潛在風險的重大討論，這些風險可能被惡意用於欺詐目的。

更廣泛的安全環境

釣魚攻擊仍然是加密貨幣持有者面臨的持續威脅。來自Scam Sniffer的最新報告顯示，僅在二月份就因釣魚相關的計劃損失了近$47 百萬，其中78%發生在以太網路上。ERC-20代幣佔所有被盜資金的86%。

最近，加密貨幣行業經歷了幾起其他重大的安全事件：

• 3月20日，Dolomite交易所之前使用的一個過時合約被利用，導致180萬美元從已授權該合約的用戶中被提取。

• 同一天，Layerswap團隊成功防止了進一步的損失，因爲他們的網站被攻破，盡管黑客仍然成功從大約50名用戶那裏竊取了約100,000美元。Layerswap已承諾向受影響的用戶退款並提供額外補償。

數字資產持有者的安全隱患

這些事件突顯了在授權智能合約互動和代幣批準時保持警惕的重要性。代幣批準功能的利用展示了攻擊者如何利用合法的區塊鏈特性來達到惡意目的。

專業交易平台和安全專家建議定期對錢包權限和代幣批準進行安全審計。用戶應定期審查並撤銷不必要的合約權限，以最小化攻擊面。

隨着復雜的網絡釣魚攻擊持續針對加密貨幣持有者，安全公司、交易平台和用戶之間的合作變得越來越重要，以開發增強的保護機制和安全協議，以用於數字資產生態系統。