Хакер перевів $10 мільйон з Фішинг атаки до Tornado Cash

Криптовалютний гаманець, пов'язаний з фішинг-атакою у вересні 2023 року, перемістив $10 мільйонів вартості Ethereum до сервісу змішування криптовалюти Tornado Cash, підкреслюючи постійні проблеми безпеки в екосистемі цифрових активів.

Деталі атаки та рух коштів

21 березня компанія з безпеки блокчейнів CertiK виявила, що рахунок, пов'язаний з атакою у вересні 2023 року, перевів 3,700 ETH ( приблизно $10 мільйон ) до Tornado Cash. Цей рахунок був пов'язаний із суттєвим витоком безпеки, що призвело до крадіжки $24 мільйона цифрових активів у криптовалютного "кита" - терміна, що відноситься до осіб, які володіють великими обсягами криптовалют.

Оригінальний інцидент стався 6 вересня 2023 року, коли жертва втратила значні активи в стейкнутому Етері через сервіс ліквідного стейкінгу Rocket Pool. Складна атака була виконана в два різні етапи:

• Перший етап: Витягнення 9,579 stETH (застейканого Ethereum)
• Друга фаза: Викрадення 4,851 rETH (Rocket Pool ETH)

Виявлена технічна вразливість

Згідно з проектом Scam Sniffer, ініціативою з безпеки, що зосереджена на виявленні шахрайства, жертва ненавмисно авторизувала транзакцію "Збільшити дозвіл". Ця критична помилка безпеки дозволила зловмиснику схвалити токени для несанкціонованих переказів.

Експлуатація використовувала механізм затвердження стандарту токенів ERC-20, який дозволяє третім особам витрачати токени, що належать іншим – законна функція, коли правильно авторизована, але небезпечна при зловживанні. Це викликало значні дебати у колах безпеки криптовалют щодо вроджених ризиків функцій затвердження токенів.

Конверсія та розподіл активів

Компанія з моніторингу безпеки блокчейну PeckShield зафіксувала, що після крадіжки зловмисник перетворив вкрадені активи на:

• 13,785 Етер
• 1.64 мільйонів Dai стейблкоїнів

Хакер потім стратегічно розподілив ці активи, перевівши частину DAI на біржу FixedFload, в той час як залишок викрадених коштів перемістив у різні інші криптовалютні гаманці.

Галузева проблема фішингу

Цей інцидент не є ізольованим, а є частиною тривожної тенденції в безпеці криптовалют. Згідно з даними проекту Scam Sniffer, лише у лютому було зафіксовано майже $47 мільйонів втрат через шахрайства, пов'язані з фішингом у секторі криптовалют.

Звіт надав критичні уявлення про патерни атак:

• 78% крадіжок сталося в мережі Ethereum
• Токени ERC-20 становили 86% від усіх вкрадених коштів

Поширені інциденти безпеки

Вразливості в затвердженні токенів нещодавно спричинили інші значні втрати. 20 березня застарілий контракт, який раніше використовувався біржею Dolomite, був експлуатований, що призвело до викрадення 1,8 мільйонів доларів у користувачів, які раніше надали дозволи цьому контракту. У відповідь розробники Dolomite терміново порадили користувачам відкликати всі дозволи, надані скомпрометованій адресі контракту.

Не всі атаки призводять до повних втрат. У ще одному інциденті 20 березня команда Layerswap успішно обмежила збитки, коли їхній вебсайт був скомпрометований, завдяки швидкому втручанню їхнього постачальника доменів. Незважаючи на їхні зусилля, приблизно $100,000 були вкрадені у близько 50 користувачів. Layerswap зобов'язалася відшкодувати ці втрати та надати додаткову компенсацію постраждалим користувачам.

Наслідки безпеки

Ці інциденти підкреслюють постійну загрозу фішингових атак у екосистемі криптовалют. Експлуатація механізмів затвердження токенів та вразливостей смарт-контрактів підкреслює необхідність посилення практик безпеки серед тримачів цифрових активів.

Оскільки атаки стають все більш складними, користувачі криптовалюти повинні підтримувати підвищену обережність, ретельно перевіряти всі транзакції та регулярно переглядати схвалення контрактів. Колективні зусилля фірм безпеки, операторів платформ та ширшої спільноти є необхідними для розробки більш надійних інструментів та процедур, які можуть краще захистити цифрові активи та створити більш безпечне середовище для операцій з криптовалютою.