黑客從網絡釣魚攻擊中轉移$10 千到Tornado Cash

一起復雜的網絡釣魚攻擊最初導致$24 百萬加密貨幣資產的泄露，隨着區塊鏈安全研究人員識別出$10 百萬轉移到混合服務，該事件有了進一步的發展。

CertiK，一家知名的區塊鏈安全公司，報告稱，在2023年9月的重大網絡釣魚事件中，涉及的一個錢包於3月21日轉移了3,700 ETH (約$10 百萬)至Tornado Cash，這是一種以模糊交易軌跡而聞名的加密貨幣混合服務。

這些資金源於2023年9月6日發生的一次重大安全漏洞，當時一位持有大量數字資產的加密貨幣"鯨魚"(損失了)百萬的質押ETH，損失是通過Rocket Pool流動性質押協議發生的。攻擊分爲兩個不同的階段，在初次漏洞中移除了9,579 stETH，隨後在一次後續交易中盜取了4,851 rETH。

攻擊向量的技術分析

來自Scam Sniffer項目的安全研究人員發現，此次攻擊中利用的基本漏洞涉及受害者授權了一筆"增加額度"交易。該ERC-20代幣標準中的這一關鍵技術機制使第三方能夠支出屬於另一個錢包的代幣——但僅在得到明確的所有者授權的情況下。

攻擊者利用這一功能獲得了將受害者的代幣轉移到他們控制的地址的批準。一旦獲得這些授權，攻擊者就可以通過多次交易系統性地抽取受害者的持有資產。

這一漏洞引發了安全圈內關於代幣授權固有風險的重大討論，特別是在與可能包含惡意代碼、旨在操縱這些授權機制的未驗證智能合約交互時。

追蹤被盜資產

PeckShield，另一家監控此事件的區塊鏈安全公司，記錄了攻擊者如何將被盜資產轉換爲13,785 ETH和大約1.64百萬Dai穩定幣。攻擊者隨後將部分DAI轉移到FixedFload交易所，同時將剩餘的被盜資金分散到多個錢包中，以使追蹤工作變得更加復雜。

最近對Tornado Cash的轉移代表了一項重要嘗試，以進一步模糊這些非法獲得資產的來源，因爲混合服務將來自多個來源的加密貨幣混合在一起，以打破發送地址和接收地址之間的鏈上連接。

更廣泛的安全影響

此事件突顯了加密貨幣領域持續存在的網絡釣魚攻擊威脅。根據 Scam Sniffer 項目 2 月的報告，僅在那個月，就有近 $24 萬被網絡釣魚相關的詐騙所損失。報告進一步揭示，78% 的盜竊發生在以太坊網路上，而 ERC-20 代幣佔所有被盜資金的 86%.

對代幣授權的安全問題因近期的額外事件而進一步加劇。3月20日，曾被Dolomite交易所使用的過時合約被利用，導致用戶在之前已授予該合約權限的情況下損失了180萬美元。對此，Dolomite的開發團隊敦促用戶立即撤銷對受損合約地址的所有授權。

安全響應示例

雖然一些安全漏洞導致了巨大的經濟損失，但迅速的響應可以減輕損害。例如，Layerswap的網站在3月20日被攻陷，團隊與他們的域名提供商迅速協調，幫助遏制了攻擊。盡管如此，仍然約有50名用戶損失了價值10萬美元的資產。Layerswap隨後宣布對受影響用戶進行全額賠償，並針對此次事件提供額外的補償。

釣魚攻擊日益復雜化，凸顯了加密貨幣用戶安全意識的重要性。特別需要注意的是審核和限制代幣授權、在簽署之前驗證交易細節，以及爲重要資產實施額外的安全措施，比如硬體錢包。

正如這些事件所示，即使是經驗豐富的加密貨幣用戶也可能成爲復雜的社會工程和技術利用的受害者。安全公司、協議開發者和用戶教育計劃之間的持續合作對於改善數字資產生態系統的整體安全態勢仍然至關重要。