黑客将 $10 千网络钓鱼 Loot 币转移至 Tornado Cash

去年，一位加密货币“鲸鱼”成为了一起复杂网络钓鱼攻击的受害者，导致价值$10 百万以太的未授权转移到Tornado Cash，一个臭名昭著的加密货币混合服务。

在3月21日，CertiK识别出一个与2023年9月黑客攻击相关的账户，该攻击从受害者那里 siphoned $24 百万。攻击分为两个阶段，剥夺了投资者9,579个stETH和4,851个rETH，来自他们的Rocket Pool质押服务。

我总是对这些攻击通过如此简单的机制成功感到惊讶。在这种情况下，受害者授权了一笔“增加额度”的交易——本质上是给了黑客花费他们的代币的权限。这就像把钱包递给某人，然后惊讶于他们拿走了你的钱。

加密社区一直在广泛讨论代币批准，理由充分。这些智能合约功能是双刃剑——对合法用途来说很方便，但被利用时会造成毁灭性后果。攻击者巧妙地将被盗资产转换为13,785 以太和164万Dai，分散到多个钱包中以掩盖他们的踪迹。

二月份的统计数据更令人震惊——仅一个月内就有近$47 百万因网络钓鱼诈骗而损失！以太坊用户似乎特别脆弱，占这些盗窃的78%。我不禁想知道，以太坊生态系统的复杂性是否使用户更易受到这些攻击。

最近，Dolomite交易所用户通过一个旧合约损失了180万美元，这进一步凸显了被遗忘的授权所带来的危险。许多用户并没有意识到这些权限会无限期存在，除非被明确撤销。

并非所有攻击都完全成功 - Layerswap的快速反应将他们最近的漏洞限制在了约50名用户的“仅仅”10万美元。尽管他们承诺退款和赔偿，但对用户信任的心理伤害仍然存在。

这些事件揭示了一个令人担忧的现实：尽管有多年的警告，网络钓鱼在加密货币中仍然极具破坏性。区块链的技术复杂性与人类在社会工程学方面的脆弱性形成了鲜明对比。在我们通过更好的教育和安全工具弥补这一差距之前，数百万美元将继续流向那些明白利用人类信任往往比破解密码更容易的攻击者。