Хакер перевів $10 мільйон з фішинг-атаки до Tornado Cash

Складна фішинг-атака, яка спочатку скомпрометувала $24 мільйон криптовалютних активів, зазнала подальших розробок, оскільки дослідники безпеки блокчейну виявили переміщення $10 мільйон до міксинг-сервісу.

CertiK, видатна компанія з безпеки блокчейн, повідомила 21 березня, що один з гаманців, залучених у великій фішинговій атаці у вересні 2023 року, перевів 3,700 ETH ( приблизно $10 мільйон ) до Tornado Cash, служби змішування криптовалюти, відомої своїми можливостями приховувати сліди транзакцій.

Кошти походять від значного порушення безпеки, яке сталося 6 вересня 2023 року, коли криптовалютний "кит" ( особа, що володіє значними цифровими активами ) втратила $24 мільйон у ставленому ETH через протокол ліквідності стейкінгу Rocket Pool. Атака відбулася у двох різних фазах, спочатку було видалено 9,579 stETH, а потім в результаті наступної транзакції було вкрадено 4,851 rETH.

Технічний аналіз вектору атаки

Дослідники безпеки з проєкту Scam Sniffer виявили, що основною вразливістю, яку було використано в цій атаці, стала авторизація жертвою транзакції "Збільшити дозволи". Цей критичний технічний механізм у стандарті токенів ERC-20 дозволяє третім особам витрачати токени, що належать іншому гаманцю, але лише з явною авторизацією власника.

Зловмисник використав цю функціональність, щоб отримати дозвіл на передачу токенів жертви на адреси під їх контролем. Після надання ці ці авторизації дозволили зловмиснику систематично виводити активи жертви через кілька транзакцій.

Ця експлуатація спричинила суттєву дискусію в колах безпеки щодо вроджених ризиків затверджень токенів, особливо при взаємодії з неперевіреними смарт-контрактами, які можуть містити шкідливий код, призначений для маніпулювання цими механізмами авторизації.

Відстеження вкрадених активів

PeckShield, ще одна компанія з безпеки блокчейнів, що моніторить інцидент, задокументувала, як зловмисник конвертував викрадені активи в 13,785 ETH та приблизно 1.64 мільйона стабільних монет Dai. Зловмисник потім перемістив частини DAI на біржу FixedFload, розподіливши решту викрадених коштів по кількох гаманцях, щоб ускладнити зусилля з відстеження.

Недавній переказ до Tornado Cash є значною спробою ще більше затемнити походження цих незаконно отриманих активів, оскільки сервіси змішування поєднують криптовалюту з кількох джерел, щоб розірвати ончейн-зв'язок між адресами відправлення та отримання.

Ширші імплікації безпеки

Цей інцидент підкреслює постійну загрозу фішингових атак у секторі криптовалют. Згідно з лютневим звітом проекту Scam Sniffer, майже $47 мільйон було втрачено через фішингові шахрайства лише в цьому місяці. Звіт також показав, що 78% цих крадіжок відбулися в мережі Ethereum, при цьому токени ERC-20 становили 86% усіх вкрадених коштів.

Питання безпеки навколо схвалень токенів були додатково підсилені нещодавніми інцидентами. 20 березня застарілий контракт, який раніше використовувався біржею Dolomite, був використаний для виведення 1,8 мільйона доларів від користувачів, які раніше надали дозволи на контракт. У відповідь команда розробників Dolomite закликала користувачів терміново відкликати всі схвалення, надані скомпрометованій адресі контракту.

Приклади реагування на безпеку

Хоча деякі порушення безпеки призводять до значних фінансових втрат, швидкі реакції можуть зменшити збитки. Наприклад, коли веб-сайт Layerswap був скомпрометований 20 березня, швидка координація команди з їхнім постачальником домену допомогла обмежити атаку. Незважаючи на цю швидку реакцію, приблизно 50 користувачів все ж втратили активи на суму $100,000. Layerswap згодом оголосив про повне відшкодування для постраждалих користувачів та додаткову компенсацію за інцидент.

Зростаюча складність фішингових атак підкреслює критичну важливість обізнаності в питаннях безпеки серед користувачів криптовалюти. Особливу увагу слід приділяти перегляду та обмеженню дозволів на токени, перевірці деталей транзакцій перед підписанням і впровадженню додаткових заходів безпеки, таких як апаратні гаманці для значних активів.

Як демонструють ці інциденти, навіть досвідчені користувачі криптовалют можуть стати жертвами складних соціальних маніпуляцій та технічних експлойтів. Продовження співпраці між компаніями з безпеки, розробниками протоколів та ініціативами з навчання користувачів залишається важливим для покращення загальної безпекової позиції екосистеми цифрових активів.