Хакер перевел $10 миллионов из Фишинг атаки в Tornado Cash

Сложная фишинг-атака, которая изначально скомпрометировала $24 миллион в криптовалютных активах, получила дальнейшее развитие, поскольку исследователи безопасности блокчейна обнаружили перемещение $10 миллиона в сервис смешивания.

CertiK, известная компания в области безопасности блокчейна, сообщила 21 марта, что один из кошельков, участвовавших в крупном фишинговом инциденте в сентябре 2023 года, перевел 3,700 ETH (примерно $10 миллион) в Tornado Cash, сервис смешивания криптовалют, известный тем, что скрывает следы транзакций.

Средства произошли из значительного нарушения безопасности, которое произошло 6 сентября 2023 года, когда криптовалютный "кит" (, индивидуум, обладающий значительными цифровыми активами ), потерял $24 миллионов в ставках ETH через протокол ликвидного стекинга Rocket Pool. Атака произошла в два различных этапа, с 9,579 stETH, удаленными в первоначальном нарушении, за которым последовала кража 4,851 rETH в последующей транзакции.

Технический анализ вектора атаки

Исследователи безопасности из проекта Scam Sniffer выявили, что основная уязвимость, использованная в этой атаке, заключалась в том, что жертва авторизовала транзакцию "Увеличить лимит". Этот критически важный технический механизм в стандарте токенов ERC-20 позволяет третьим лицам тратить токены, принадлежащие другому кошельку, но только с явного разрешения владельца.

Злоумышленник использовал эту функциональность, чтобы получить разрешение на перевод токенов жертвы на адреса, находящиеся под его контролем. После получения такие разрешения позволили злоумышленнику систематически опустошать активы жертвы через несколько транзакций.

Это злоупотребление вызвало значительные обсуждения в кругах безопасности о присущих рисках одобрения токенов, особенно при взаимодействии с непроверенными смарт-контрактами, которые могут содержать злонамеренный код, предназначенный для манипуляции этими механизмами авторизации.

Отслеживание украденных активов

PeckShield, еще одна блокчейн-компания по безопасности, следящая за инцидентом, задокументировала, как злоумышленник конвертировал украденные активы в 13,785 ETH и примерно 1,64 миллиона Dai стейблкоинов. Злоумышленник впоследствии переместил части DAI на биржу FixedFload, распределив оставшиеся украденные средства по нескольким кошелькам, чтобы усложнить усилия по отслеживанию.

Недавний перевод на Tornado Cash представляет собой значительную попытку еще больше скрыть происхождение этих незаконно полученных активов, поскольку услуги микширования смешивают криптовалюту из нескольких источников, чтобы разорвать связь в блокчейне между адресами отправителя и получателя.

Более широкие последствия для безопасности

Этот инцидент подчеркивает постоянную угрозу фишинговых атак в секторе криптовалют. Согласно отчету проекта Scam Sniffer за февраль, почти $47 миллион был утерян из-за фишинговых мошенничеств только в этом месяце. В отчете также было revealed, что 78% этих краж произошло в сети Ethereum, при этом токены ERC-20 составили 86% всех украденных средств.

Проблемы безопасности, связанные с утверждением токенов, стали ещё более актуальными после недавних инцидентов. 20 марта устаревший контракт, ранее использовавшийся биржей Dolomite, был использован для вывода 1,8 миллиона долларов у пользователей, которые ранее предоставили разрешения на этот контракт. В ответ команда разработчиков Dolomite призвала пользователей немедленно отозвать все утверждения, выданные скомпрометированному адресу контракта.

Примеры реагирования на безопасность

Хотя некоторые нарушения безопасности приводят к значительным финансовым потерям, быстрые реакции могут смягчить ущерб. Например, когда сайт Layerswap был скомпрометирован 20 марта, быстрая координация команды с их провайдером домена помогла локализовать атаку. Несмотря на эту быструю реакцию, примерно 50 пользователей все же потеряли активы на сумму 100 000 долларов. Layerswap впоследствии объявил о полном возмещении для пострадавших пользователей и дополнительной компенсации за инцидент.

Увеличение сложности фишинговых атак подчеркивает критическую важность осведомленности о безопасности среди пользователей криптовалют. Особое внимание следует уделить проверке и ограничению одобрений токенов, проверке деталей транзакций перед подписанием и внедрению дополнительных мер безопасности, таких как аппаратные кошельки для значительных вкладов.

Как показывают эти инциденты, даже опытные пользователи криптовалют могут стать жертвами сложного социального инжиниринга и технических эксплойтов. Продолжение сотрудничества между компаниями по безопасности, разработчиками протоколов и инициативами по обучению пользователей остается важным для улучшения общей безопасности экосистемы цифровых активов.