黑客從網絡釣魚攻擊中轉移了$10 千至Tornado Cash

與2023年9月網絡釣魚攻擊相關的加密貨幣錢包已將$10 千價值的以太坊轉移至加密貨幣混合服務Tornado Cash，突顯了數字資產生態系統中持續的安全挑戰。

攻擊細節和資金流動

在3月21日，區塊鏈安全公司CertiK發現，一個涉及2023年9月黑客攻擊的帳戶轉移了3,700以太 (大約$10 百萬)給Tornado Cash。該帳戶與一起重大安全漏洞相關，該漏洞導致從一個加密貨幣"鯨魚" - 指持有大量加密貨幣的個人 - 盜竊了$24 百萬的數字資產。

事件的起源發生在2023年9月6日，當時受害者通過Rocket Pool流動性質押服務損失了大量質押以太的資產。這次復雜的攻擊分爲兩個不同的階段執行：

• 第一階段：提取 9,579 stETH (質押的以太坊)
• 第二階段：(Rocket Pool ETH) 盜竊 4,851 個 rETH

技術漏洞被利用

根據Scam Sniffer項目，一個專注於欺詐檢測的安全倡議，受害者不小心授權了一筆“增加額度”的交易。這個關鍵的安全錯誤使攻擊者能夠批準代幣進行未授權轉移。

這種利用利用了ERC-20代幣標準的批準機制，該機制允許第三方支出他人擁有的代幣——在得到適當授權時是一個合法的功能，但在被誤用時則是危險的。這引發了加密貨幣安全圈內關於代幣批準功能固有風險的重大辯論。

資產轉換和分配

區塊鏈安全監測公司 PeckShield 記錄了在盜竊發生後，攻擊者將被盜資產轉換爲：

• 13,785 以太
• 164 萬 Dai 穩定幣

黑客隨後戰略性地分配了這些資產，將一些DAI轉移到FixedFload交易所，同時將剩餘的被盜資金轉移到其他各種加密貨幣錢包。

行業普遍的網絡釣魚問題

此事件並非孤立，而是加密貨幣安全中一個令人擔憂的趨勢的一部分。根據Scam Sniffer項目的數據，僅在二月份，由於與網絡釣魚相關的詐騙，加密貨幣領域的損失就達到了近$47 百萬。

該報告提供了對攻擊模式的關鍵見解：

• 78%的盜竊發生在以太坊網路上
• ERC-20 代幣佔所有被盜資金的 86%

相關安全事件

代幣授權漏洞最近導致了其他重大的損失。3月20日，曾被Dolomite交易所使用的一個過時合約被利用，導致用戶在之前授權給該合約的情況下損失了180萬美元。對此，Dolomite開發者緊急建議用戶撤銷對被攻擊合約地址的所有授權。

並非所有攻擊都會導致完全損失。在3月20日的另一起事件中，Layerswap團隊在他們的網站受到攻擊時成功限制了損失，這得益於他們域名提供商的快速幹預。盡管他們的努力，仍有大約10萬美元從大約50名用戶那裏被盜。Layerswap已承諾對這些損失進行退款，並爲受影響的用戶提供額外的補償。

安全隱患

這些事件突顯了加密貨幣生態系統中網絡釣魚攻擊的持續威脅。代幣批準機制和智能合約漏洞的利用強調了數字資產持有者需要加強安全實踐的必要性。

隨着攻擊變得越來越復雜，加密貨幣用戶必須保持高度警惕，仔細驗證所有交易，並定期審查合同批準。安全公司、平台運營商和更廣泛社區的共同努力對於開發更強大的工具和程序，以更好地保護數字資產並爲加密貨幣操作創造更安全的環境至關重要。