黑客从网络钓鱼攻击中转移$10 千到Tornado Cash

一起复杂的网络钓鱼攻击最初导致$24 百万加密货币资产的泄露，随着区块链安全研究人员识别出$10 百万转移到混合服务，该事件有了进一步的发展。

CertiK，一家知名的区块链安全公司，报告称，在2023年9月的重大网络钓鱼事件中，涉及的一个钱包于3月21日转移了3,700 ETH (约$10 百万)至Tornado Cash，这是一种以模糊交易轨迹而闻名的加密货币混合服务。

这些资金源于2023年9月6日发生的一次重大安全漏洞，当时一位持有大量数字资产的加密货币"鲸鱼"(损失了)百万的质押ETH，损失是通过Rocket Pool流动性质押协议发生的。攻击分为两个不同的阶段，在初次漏洞中移除了9,579 stETH，随后在一次后续交易中盗取了4,851 rETH。

攻击向量的技术分析

来自Scam Sniffer项目的安全研究人员发现，此次攻击中利用的基本漏洞涉及受害者授权了一笔"增加额度"交易。该ERC-20代币标准中的这一关键技术机制使第三方能够支出属于另一个钱包的代币——但仅在得到明确的所有者授权的情况下。

攻击者利用这一功能获得了将受害者的代币转移到他们控制的地址的批准。一旦获得这些授权，攻击者就可以通过多次交易系统性地抽取受害者的持有资产。

这一漏洞引发了安全圈内关于代币授权固有风险的重大讨论，特别是在与可能包含恶意代码、旨在操纵这些授权机制的未验证智能合约交互时。

追踪被盗资产

PeckShield，另一家监控此事件的区块链安全公司，记录了攻击者如何将被盗资产转换为13,785 ETH和大约1.64百万Dai稳定币。攻击者随后将部分DAI转移到FixedFload交易所，同时将剩余的被盗资金分散到多个钱包中，以使追踪工作变得更加复杂。

最近对Tornado Cash的转移代表了一项重要尝试，以进一步模糊这些非法获得资产的来源，因为混合服务将来自多个来源的加密货币混合在一起，以打破发送地址和接收地址之间的链上连接。

更广泛的安全影响

此事件突显了加密货币领域持续存在的网络钓鱼攻击威胁。根据 Scam Sniffer 项目 2 月的报告，仅在那个月，就有近 $24 万被网络钓鱼相关的诈骗所损失。报告进一步揭示，78% 的盗窃发生在以太坊网络上，而 ERC-20 代币占所有被盗资金的 86%.

对代币授权的安全问题因近期的额外事件而进一步加剧。3月20日，曾被Dolomite交易所使用的过时合约被利用，导致用户在之前已授予该合约权限的情况下损失了180万美元。对此，Dolomite的开发团队敦促用户立即撤销对受损合约地址的所有授权。

安全响应示例

虽然一些安全漏洞导致了巨大的经济损失，但迅速的响应可以减轻损害。例如，Layerswap的网站在3月20日被攻陷，团队与他们的域名提供商迅速协调，帮助遏制了攻击。尽管如此，仍然约有50名用户损失了价值10万美元的资产。Layerswap随后宣布对受影响用户进行全额赔偿，并针对此次事件提供额外的补偿。

钓鱼攻击日益复杂化，凸显了加密货币用户安全意识的重要性。特别需要注意的是审核和限制代币授权、在签署之前验证交易细节，以及为重要资产实施额外的安全措施，比如硬件钱包。

正如这些事件所示，即使是经验丰富的加密货币用户也可能成为复杂的社会工程和技术利用的受害者。安全公司、协议开发者和用户教育计划之间的持续合作对于改善数字资产生态系统的整体安全态势仍然至关重要。