هاكر ي funnel $10 مليون تصيد Loot إلى Tornado Cash

وقع “حوت” العملات الرقمية ضحية لهجوم تصيد معقد العام الماضي، مما أدى إلى تحويل غير مصرح به بقيمة $10 مليون من ايثر إلى Tornado Cash، وهي خدمة خلط عملات رقمية سيئة السمعة.

في 21 مارس، حددت CertiK حسابًا مرتبطًا باختراق سبتمبر 2023 الذي سحب $24 مليون من الضحية. حدث الهجوم على مرحلتين، مما أدى إلى تجريد المستثمر من 9,579 stETH و 4,851 rETH من خدمة الرهان Rocket Pool.

أنا دائمًا مندهش من كيفية نجاح هذه الهجمات من خلال آليات بسيطة جدًا. في هذه الحالة، قام الضحية بتفويض عملية “زيادة التخصيص” - مما يمنح القراصنة إذنًا لإنفاق رموزهم. إنه كأنك تعطي شخصًا محفظتك وتتفاجأ عندما يأخذ أموالك.

تتناقش مجتمع التشفير بشكل موسع حول موافقات التوكنات، ولسبب وجيه. فهذه الوظائف في العقود الذكية سلاح ذو حدين - مريحة للاستخدامات المشروعة ولكنها مدمرة عند استغلالها. قام المهاجم بتحويل الأصول المسروقة بذكاء إلى 13,785 ايثر و1.64 مليون داي، موزعة عبر محافظ متعددة لإخفاء آثارهم.

إحصائيات فبراير أكثر إثارة للقلق - فقد تم فقدان ما يقرب من $47 مليون بسبب عمليات الاحتيال عبر الصيد في شهر واحد فقط! يبدو أن مستخدمي ايثر عرضة بشكل خاص، حيث يمثلون 78% من هذه السرقات. لا أستطيع إلا أن أتساءل ما إذا كانت تعقيدات نظام ايثر البيئي تجعل المستخدمين أكثر عرضة لهذه الهجمات.

لقد سلطت عملية سحب بقيمة 1.8 مليون دولار من مستخدمي بورصة دولوميت من خلال عقد قديم الضوء على مخاطر الموافقات المنسية. لا يدرك العديد من المستخدمين أن هذه الأذونات تستمر إلى أجل غير مسمى ما لم يتم إلغاؤها بشكل صريح.

ليس كل الهجمات تنجح بشكل كامل - رد فعل Layerswap السريع حد من اختراقهم الأخير إلى “فقط” 100,000 دولار من حوالي 50 مستخدمًا. بينما وعدوا برد الأموال والتعويضات، إلا أن الضرر النفسي على ثقة المستخدمين لا يزال قائماً.

تكشف هذه الحوادث عن واقع مقلق: على الرغم من سنوات من التحذيرات، لا يزال التصيد الاحتيالي فعالاً بشكل مدمر في عالم العملات المشفرة. تتباين التقنية المتطورة للبلوك تشين بشكل حاد مع الضعف البشري أمام الهندسة الاجتماعية. حتى نقوم بسد هذه الفجوة من خلال تحسين التعليم وأدوات الأمان، سيستمر الملايين في التدفق إلى المهاجمين الذين يدركون أن استغلال الثقة البشرية غالبًا ما يكون أسهل من كسر التشفير.