黑客將 $10 千網絡釣魚 Loot 幣轉移至 Tornado Cash

去年，一位加密貨幣“鯨魚”成爲了一起復雜網絡釣魚攻擊的受害者，導致價值$10 百萬以太的未授權轉移到Tornado Cash，一個臭名昭著的加密貨幣混合服務。

在3月21日，CertiK識別出一個與2023年9月黑客攻擊相關的帳戶，該攻擊從受害者那裏 siphoned $24 百萬。攻擊分爲兩個階段，剝奪了投資者9,579個stETH和4,851個rETH，來自他們的Rocket Pool質押服務。

我總是對這些攻擊通過如此簡單的機制成功感到驚訝。在這種情況下，受害者授權了一筆“增加額度”的交易——本質上是給了黑客花費他們的代幣的權限。這就像把錢包遞給某人，然後驚訝於他們拿走了你的錢。

加密社區一直在廣泛討論代幣批準，理由充分。這些智能合約功能是雙刃劍——對合法用途來說很方便，但被利用時會造成毀滅性後果。攻擊者巧妙地將被盜資產轉換爲13,785 以太和164萬Dai，分散到多個錢包中以掩蓋他們的蹤跡。

二月份的統計數據更令人震驚——僅一個月內就有近$47 百萬因網絡釣魚詐騙而損失！以太坊用戶似乎特別脆弱，佔這些盜竊的78%。我不禁想知道，以太坊生態系統的復雜性是否使用戶更易受到這些攻擊。

最近，Dolomite交易所用戶通過一個舊合約損失了180萬美元，這進一步凸顯了被遺忘的授權所帶來的危險。許多用戶並沒有意識到這些權限會無限期存在，除非被明確撤銷。

並非所有攻擊都完全成功 - Layerswap的快速反應將他們最近的漏洞限制在了約50名用戶的“僅僅”10萬美元。盡管他們承諾退款和賠償，但對用戶信任的心理傷害仍然存在。

這些事件揭示了一個令人擔憂的現實：盡管有多年的警告，網絡釣魚在加密貨幣中仍然極具破壞性。區塊鏈的技術復雜性與人類在社會工程學方面的脆弱性形成了鮮明對比。在我們通過更好的教育和安全工具彌補這一差距之前，數百萬美元將繼續流向那些明白利用人類信任往往比破解密碼更容易的攻擊者。