$10 Мільйон Крипто Вкрадено, Перекладено в Tornado Cash, Виявляє Критичні Вразливості Безпеки

Криптовалютний "кит", який став жертвою складної фішингової атаки минулого року, побачив, як $10 мільйонів вкраденого Етеру було перенесено до сервісу змішування криптовалюти Tornado Cash, що підкреслює постійні загрози безпеці в екосистемі цифрових активів.

Основні рухи фондів з вересневого хакерства

21 березня компанія з безпеки блокчейну CertiK виявила підозрілу активність, коли рахунок, пов'язаний з інцидентом фішингу у вересні 2023 року, перевів 3,700 Етер ( приблизно $10 мільйон) до Tornado Cash. Цей переказ представляє значну частину з $24 мільйона активів, вкрадених під час початкової атаки 6 вересня 2023 року.

Жертва, криптовалютний кит, втратила значні активи в застрахованому Етері через сервіс ліквідного стекингу Rocket Pool. Складна атака відбулася в два різні етапи:

• Перший етап: Видалення 9,579 stETH
• Другий етап: Викрадення 4,851 rETH

Технічний аналіз експлуатації

Проект безпеки Scam Sniffer виявив технічну вразливість, яка дозволила здійснити атаку: жертва уповноважила транзакцію "Збільшити Дозвіл", що виявилося катастрофічним. Ця конкретна функція смарт-контракту дозволяє третім сторонам витрачати ERC-20 токени, що належать іншим, за згодою.

Як працював напад:

1. Жертва авторизувала транзакцію "Збільшити дозвол"
2. Зловмисник отримав права на затвердження токенів жертви
3. Функціональність смарт-контрактів була використана для передачі токенів
4. Активи були конвертовані для максимізації анонімності

Порушення безпеки викликало інтенсивні обговорення в криптовалютній спільноті щодо вроджених ризиків схвалення токенів, особливо при взаємодії з потенційно шкідливими смарт-контрактами.

Конверсія активів та шлях відмивання

Компанія з аналізу блокчейну PeckShield відстежила подальші дії зловмисника, документуючи, як вкрадені активи були систематично конвертовані в:

• 13,785 Етер
• 1,64 мільйона стабільних монет Dai

Після конвертації частини DAI були направлені на біржу FixedFload, в той час як залишкові вкрадені кошти були розподілені по кількох адресах гаманців, щоб приховати їхнє походження перед останнім переказом Tornado Cash.

Зростаюча тенденція експлойтів схвалення

Цей інцидент є частиною тривожного патерну у порушеннях безпеки криптовалют. Лише в лютому було втрачено майже $47 мільйон через шахрайства, пов'язані з фішингом, згідно з доповіддю Scam Sniffer, з:

• 78% крадіжок, що сталися в мережі Етер
• Токени ERC-20 складають 86% від усіх вкрадених коштів

Вразливості затвердження токенів продовжують створювати значні втрати. Лише за день до того, як був виявлений цей $10 мільйонний переказ, застарілий контракт, який раніше використовувався біржею Dolomite, був зламаний, виводячи 1,8 мільйона доларів від користувачів, які надали дозволи на контракт. Розробники Dolomite згодом закликали користувачів відкликати всі дозволи на скомпрометовану адресу контракту.

Швидкі відповіді запобігають подальшим втратам

Хоча багато атак призводять до значних втрат, швидкі заходи безпеки можуть зменшити шкоду. 20 березня команда Layerswap успішно запобігла подальшому використанню після того, як їхній вебсайт був скомпрометований, завдяки швидкій реакції їхнього постачальника домену. Незважаючи на їхні швидкі дії, зловмисники все ж змогли витягти приблизно $100,000 від близько 50 користувачів. Layerswap зобов'язалася відшкодувати постраждалим користувачам і надати додаткову компенсацію за незручності.

Ці повторювані інциденти підкреслюють критичну важливість пильності щодо безпеки в криптовалютних транзакціях. Використання функцій затвердження токенів і вразливостей смарт-контрактів підкреслює необхідність підвищення обізнаності користувачів і ретельної перевірки всіх взаємодій з контрактами, щоб запобігти неналежним втратам активів у все більш складному середовищі загроз.