黑客从网络钓鱼攻击中转移了$10 千至Tornado Cash

与2023年9月网络钓鱼攻击相关的加密货币钱包已将$10 千价值的以太坊转移至加密货币混合服务Tornado Cash，突显了数字资产生态系统中持续的安全挑战。

攻击细节和资金流动

在3月21日，区块链安全公司CertiK发现，一个涉及2023年9月黑客攻击的账户转移了3,700以太 (大约$10 百万)给Tornado Cash。该账户与一起重大安全漏洞相关，该漏洞导致从一个加密货币"鲸鱼" - 指持有大量加密货币的个人 - 盗窃了$24 百万的数字资产。

事件的起源发生在2023年9月6日，当时受害者通过Rocket Pool流动性质押服务损失了大量质押以太的资产。这次复杂的攻击分为两个不同的阶段执行：

• 第一阶段：提取 9,579 stETH (质押的以太坊)
• 第二阶段：(Rocket Pool ETH) 盗窃 4,851 个 rETH

技术漏洞被利用

根据Scam Sniffer项目，一个专注于欺诈检测的安全倡议，受害者不小心授权了一笔“增加额度”的交易。这个关键的安全错误使攻击者能够批准代币进行未授权转移。

这种利用利用了ERC-20代币标准的批准机制，该机制允许第三方支出他人拥有的代币——在得到适当授权时是一个合法的功能，但在被误用时则是危险的。这引发了加密货币安全圈内关于代币批准功能固有风险的重大辩论。

资产转换和分配

区块链安全监测公司 PeckShield 记录了在盗窃发生后，攻击者将被盗资产转换为：

• 13,785 以太
• 164 万 Dai 稳定币

黑客随后战略性地分配了这些资产，将一些DAI转移到FixedFload交易所，同时将剩余的被盗资金转移到其他各种加密货币钱包。

行业普遍的网络钓鱼问题

此事件并非孤立，而是加密货币安全中一个令人担忧的趋势的一部分。根据Scam Sniffer项目的数据，仅在二月份，由于与网络钓鱼相关的诈骗，加密货币领域的损失就达到了近$47 百万。

该报告提供了对攻击模式的关键见解：

• 78%的盗窃发生在以太坊网络上
• ERC-20 代币占所有被盗资金的 86%

相关安全事件

代币授权漏洞最近导致了其他重大的损失。3月20日，曾被Dolomite交易所使用的一个过时合约被利用，导致用户在之前授权给该合约的情况下损失了180万美元。对此，Dolomite开发者紧急建议用户撤销对被攻击合约地址的所有授权。

并非所有攻击都会导致完全损失。在3月20日的另一起事件中，Layerswap团队在他们的网站受到攻击时成功限制了损失，这得益于他们域名提供商的快速干预。尽管他们的努力，仍有大约10万美元从大约50名用户那里被盗。Layerswap已承诺对这些损失进行退款，并为受影响的用户提供额外的补偿。

安全隐患

这些事件突显了加密货币生态系统中网络钓鱼攻击的持续威胁。代币批准机制和智能合约漏洞的利用强调了数字资产持有者需要加强安全实践的必要性。

随着攻击变得越来越复杂，加密货币用户必须保持高度警惕，仔细验证所有交易，并定期审查合同批准。安全公司、平台运营商和更广泛社区的共同努力对于开发更强大的工具和程序，以更好地保护数字资产并为加密货币操作创造更安全的环境至关重要。