Hacker Funnel $10 Million Phishing Loot vers Tornado Cash

Un “whale” de la cryptomonnaie est tombé victime d'une attaque de phishing sophistiquée l'année dernière, entraînant le transfert non autorisé de $10 millions d'Éther vers Tornado Cash, un service de mixage de cryptomonnaie notoire.

Le 21 mars, CertiK a identifié un compte lié au piratage de septembre 2023 qui a siphonné $24 millions du victim. L'attaque s'est déroulée en deux phases, dépouillant l'investisseur de 9 579 stETH et 4 851 rETH de leur service de mise en jeu Rocket Pool.

Je suis toujours étonné de voir comment ces attaques réussissent à travers des mécanismes si simples. Dans ce cas, la victime a autorisé une transaction “Augmenter l'Autorisation” - donnant essentiellement au hacker la permission de dépenser ses jetons. C'est comme si on remettait son portefeuille à quelqu'un et qu'on était surpris lorsqu'il prend notre argent.

La communauté crypto a beaucoup débattu des approbations de tokens, et ce n'est pas sans raison. Ces fonctions de contrat intelligent sont des épées à double tranchant - pratiques pour des usages légitimes mais dévastatrices lorsqu'elles sont exploitées. L'attaquant a habilement converti les actifs volés en 13 785 Éther et 1,64 million de Dai, les distribuant à travers divers portefeuilles pour brouiller ses traces.

Les statistiques de février sont encore plus alarmantes - près de $47 millions perdus à cause des escroqueries par phishing en un seul mois ! Les utilisateurs d'Éther semblent particulièrement vulnérables, représentant 78 % de ces vols. Je ne peux m'empêcher de me demander si la complexité de l'écosystème d'Éther rend les utilisateurs plus susceptibles à ces attaques.

Le récent drain de 1,8 million de dollars des utilisateurs de l'échange Dolomite à travers un ancien contrat souligne encore les dangers des autorisations oubliées. De nombreux utilisateurs ne réalisent pas que ces permissions persistent indéfiniment à moins d'être explicitement révoquées.

Tous les attaques ne réussissent pas complètement - La réponse rapide de Layerswap a limité leur récente violation à “seulement” 100 000 $ provenant d'environ 50 utilisateurs. Bien qu'ils aient promis des remboursements et des compensations, le dommage psychologique à la confiance des utilisateurs reste.

Ces incidents révèlent une réalité troublante : malgré des années d'avertissements, le phishing reste dévastateur dans le secteur des cryptomonnaies. La sophistication technique de la blockchain contraste fortement avec la vulnérabilité humaine face à l'ingénierie sociale. Tant que nous ne comblerons pas cette lacune par une meilleure éducation et des outils de sécurité, des millions continueront d'affluer vers des attaquants qui comprennent que tirer parti de la confiance humaine est souvent plus facile que de briser la cryptographie.