Hacker chuyển $10 triệu từ cuộc Lừa đảo đến Tornado Cash

Một cuộc tấn công lừa đảo tinh vi ban đầu đã xâm phạm $24 triệu tài sản tiền điện tử đã có những diễn biến mới, khi các nhà nghiên cứu bảo mật blockchain xác định được việc di chuyển $10 triệu đến một dịch vụ trộn.

CertiK, một công ty bảo mật blockchain nổi bật, đã báo cáo vào ngày 21 tháng 3 rằng một trong các ví liên quan đến một sự cố lừa đảo lớn vào tháng 9 năm 2023 đã chuyển 3,700 ETH ( khoảng $10 triệu ) đến Tornado Cash, một dịch vụ trộn tiền điện tử nổi tiếng về việc làm mờ dấu vết giao dịch.

Các quỹ bắt nguồn từ một vụ vi phạm bảo mật nghiêm trọng xảy ra vào ngày 6 tháng 9 năm 2023, khi một "cá voi" tiền điện tử (, một cá nhân nắm giữ tài sản kỹ thuật số đáng kể ), đã mất $24 triệu trong ETH đã đặt cọc thông qua giao thức đặt cọc thanh khoản Rocket Pool. Cuộc tấn công xảy ra trong hai giai đoạn khác nhau, với 9.579 stETH bị loại bỏ trong vụ vi phạm ban đầu, tiếp theo là việc đánh cắp 4.851 rETH trong một giao dịch sau đó.

Phân tích kỹ thuật về vector tấn công

Các nhà nghiên cứu an ninh từ dự án Scam Sniffer đã xác định rằng lỗ hổng cơ bản bị khai thác trong cuộc tấn công này liên quan đến việc nạn nhân ủy quyền một giao dịch "Tăng giới hạn". Cơ chế kỹ thuật quan trọng này trong tiêu chuẩn token ERC-20 cho phép các bên thứ ba chi tiêu token thuộc về ví khác - nhưng chỉ với sự ủy quyền rõ ràng của chủ sở hữu.

Kẻ tấn công đã tận dụng chức năng này để nhận được sự chấp thuận cho việc chuyển token của nạn nhân đến các địa chỉ dưới sự kiểm soát của họ. Khi đã được cấp quyền, những ủy quyền này cho phép kẻ tấn công rút sạch tài sản của nạn nhân qua nhiều giao dịch.

Sự khai thác này đã kích thích cuộc thảo luận đáng kể trong các vòng bảo mật về những rủi ro tiềm ẩn của việc phê duyệt token, đặc biệt là khi tương tác với các hợp đồng thông minh chưa được xác minh có thể chứa mã độc hại được thiết kế để thao túng các cơ chế ủy quyền này.

Theo dõi tài sản bị đánh cắp

PeckShield, một công ty bảo mật blockchain khác theo dõi sự cố, đã ghi lại cách mà kẻ tấn công chuyển đổi tài sản bị đánh cắp thành 13,785 ETH và khoảng 1.64 triệu stablecoin Dai. Kẻ tấn công sau đó đã chuyển một phần DAI đến sàn giao dịch FixedFload, trong khi phân phối các quỹ bị đánh cắp còn lại qua nhiều ví khác nhau để làm phức tạp nỗ lực theo dõi.

Việc chuyển nhượng gần đây đến Tornado Cash đại diện cho một nỗ lực đáng kể nhằm che giấu nguồn gốc của những tài sản thu được bất hợp pháp này, khi các dịch vụ trộn lẫn tiền điện tử từ nhiều nguồn khác nhau để phá vỡ mối liên hệ trên chuỗi giữa địa chỉ gửi và nhận.

Những tác động an ninh rộng hơn

Sự cố này nổi bật lên mối đe dọa liên tục của các cuộc tấn công lừa đảo trong lĩnh vực tiền điện tử. Theo một báo cáo vào tháng Hai từ dự án Scam Sniffer, gần $47 triệu đã bị mất do các trò lừa đảo liên quan đến lừa đảo trong tháng đó. Báo cáo còn tiết lộ rằng 78% số vụ trộm này xảy ra trên mạng Ethereum, với các token ERC-20 chiếm 86% tổng số tiền bị đánh cắp.

Các mối quan ngại về bảo mật xung quanh việc phê duyệt token đã được củng cố thêm bởi các sự cố gần đây. Vào ngày 20 tháng 3, một hợp đồng lỗi thời trước đây được sử dụng bởi sàn giao dịch Dolomite đã bị khai thác để rút 1,8 triệu đô la từ những người dùng đã cấp quyền cho hợp đồng này. Để phản ứng lại, đội ngũ phát triển của Dolomite đã kêu gọi người dùng ngay lập tức thu hồi tất cả các quyền đã cấp cho địa chỉ hợp đồng bị xâm phạm.

Ví dụ về Phản ứng An ninh

Trong khi một số vi phạm bảo mật dẫn đến tổn thất tài chính đáng kể, phản ứng nhanh chóng có thể giảm thiểu thiệt hại. Ví dụ, khi trang web của Layerswap bị xâm phạm vào ngày 20 tháng 3, sự phối hợp nhanh chóng của đội ngũ với nhà cung cấp miền của họ đã giúp kiểm soát cuộc tấn công. Mặc dù có phản ứng nhanh chóng này, khoảng 50 người dùng vẫn mất tài sản trị giá 100.000 đô la. Layerswap sau đó đã công bố hoàn tiền đầy đủ cho những người dùng bị ảnh hưởng và thêm bồi thường cho sự cố.

Sự tinh vi ngày càng tăng của các cuộc tấn công lừa đảo nhấn mạnh tầm quan trọng sống còn của việc nâng cao nhận thức về an ninh trong số những người dùng tiền điện tử. Cần đặc biệt chú ý đến việc xem xét và giới hạn các phê duyệt token, xác minh chi tiết giao dịch trước khi ký và thực hiện các biện pháp bảo mật bổ sung như ví phần cứng cho các khoản nắm giữ lớn.

Như những sự cố này đã chứng minh, ngay cả những người dùng tiền điện tử có kinh nghiệm cũng có thể trở thành nạn nhân của các kỹ thuật xã hội tinh vi và các lỗ hổng kỹ thuật. Sự hợp tác liên tục giữa các công ty bảo mật, các nhà phát triển giao thức và các sáng kiến giáo dục người dùng vẫn rất quan trọng để cải thiện tổng thể tư thế bảo mật của hệ sinh thái tài sản kỹ thuật số.