ハッカーが$10 万フィッシングルートをトルネードキャッシュに流す

昨年、暗号通貨の「クジラ」が高度なフィッシング攻撃の標的となり、エーテルで$10 百万相当が悪名高い暗号通貨ミキシングサービスであるトルネードキャッシュに不正に転送されました。

3月21日、CertiKは2023年9月のハッキングに関連するアカウントを特定し、被害者から$24 百万が siphoned されたことを明らかにしました。この攻撃は2段階で展開され、投資家はRocket Poolのステーキングサービスから9,579 stETHと4,851 rETHを奪われました。

これらの攻撃がこんなにも単純なメカニズムで成功することにいつも驚かされます。この場合、被害者は「増加許可」トランザクションを承認しました - 実質的にハッカーに自分のトークンを使う許可を与えたのです。まるで誰かに自分の財布を渡して、彼らが自分のお金を取ることに驚いているようなものです。

暗号コミュニティはトークンの承認について広範に議論しており、それには十分な理由があります。これらのスマートコントラクト機能は二律背反の剣であり、正当な用途には便利ですが、悪用されると壊滅的な結果をもたらします。攻撃者は巧妙に盗まれた資産を13,785エーテルと164万ダイに変換し、様々なウォレットに分散させて足跡を隠しました。

2月の統計はさらに驚くべきもので、単月で$47 万がフィッシング詐欺に失われました！エーテルのユーザーは特に脆弱なようで、これらの盗難の78%を占めています。エーテルのエコシステムの複雑さがユーザーをこれらの攻撃に対してより感受性を高めているのではないかと考えずにはいられません。

最近、Dolomite取引所のユーザーから古い契約を通じて$1.8百万が引き出されたことは、忘れられた承認の危険性をさらに浮き彫りにしています。多くのユーザーは、これらの権限が明示的に取り消されない限り、無期限に持続することを理解していません。

すべての攻撃が完全に成功するわけではありません - Layerswapの迅速な対応により、最近の侵害は約50人のユーザーから「わずか」100,000ドルに制限されました。彼らは返金と補償を約束していますが、ユーザーの信頼に対する心理的なダメージは残ります。

これらの事件は、憂慮すべき現実を浮き彫りにしています。警告が何年も続いているにもかかわらず、フィッシングは暗号通貨において壊滅的に効果的であり続けています。ブロックチェーンの技術的な洗練さは、ソーシャルエンジニアリングに対する人間の脆弱性と鋭く対比しています。このギャップをより良い教育とセキュリティツールを通じて埋めるまでは、何百万もの資金が攻撃者に流れ続けるでしょう。彼らは、人間の信頼を利用することが暗号を破るよりも簡単であることを理解しています。