$10 Triệu vụ trộm Tiền điện tử được chuyển đến Tornado Cash phơi bày những lỗ hổng bảo mật nghiêm trọng

Một "cá voi" tiền điện tử đã trở thành nạn nhân của một cuộc tấn công lừa đảo tinh vi vào năm ngoái đã thấy $10 triệu giá trị Ether bị đánh cắp được chuyển đến dịch vụ trộn tiền điện tử Tornado Cash, làm nổi bật những mối đe dọa an ninh liên tục trong hệ sinh thái tài sản kỹ thuật số.

Di chuyển quỹ lớn từ vụ hack tháng Chín

Vào ngày 21 tháng 3, công ty an ninh blockchain CertiK đã phát hiện hoạt động đáng ngờ khi một tài khoản liên kết với sự cố lừa đảo vào tháng 9 năm 2023 đã chuyển 3,700 ETH ( khoảng $10 triệu ) đến Tornado Cash. Sự chuyển giao này đại diện cho một phần lớn của $24 triệu tài sản bị đánh cắp trong cuộc tấn công ban đầu vào ngày 6 tháng 9 năm 2023.

Nạn nhân, một cá voi tiền điện tử, đã mất một lượng lớn tài sản trong ETH đã đặt cọc thông qua dịch vụ đặt cọc thanh khoản Rocket Pool. Cuộc tấn công tinh vi diễn ra trong hai giai đoạn khác nhau:

• Giai đoạn đầu tiên: Gỡ bỏ 9.579 stETH
• Giai đoạn thứ hai: Đánh cắp 4,851 rETH

Phân tích kỹ thuật về lỗ hổng

Dự án an ninh Scam Sniffer đã tiết lộ lỗ hổng kỹ thuật cho phép cuộc tấn công: nạn nhân đã cho phép một giao dịch "Tăng hạn mức", điều này đã chứng minh là thảm khốc. Chức năng hợp đồng thông minh cụ thể này cho phép các bên thứ ba chi tiêu các token ERC-20 thuộc về người khác—với sự đồng ý.

Cách thức tấn công hoạt động:

1. Nạn nhân đã ủy quyền cho một giao dịch "Tăng Giới Hạn"
2. Kẻ tấn công đã giành được quyền phê duyệt đối với token của nạn nhân
3. Chức năng hợp đồng thông minh đã bị khai thác để chuyển giao token
4. Tài sản đã được chuyển đổi để tối đa hóa tính ẩn danh

Lỗ hổng bảo mật đã kích thích một cuộc thảo luận sôi nổi trong cộng đồng tiền điện tử về những rủi ro tiềm ẩn của việc phê duyệt token, đặc biệt là khi tương tác với các hợp đồng thông minh có thể độc hại.

Chuyển đổi tài sản và Đường đi rửa tiền

Công ty trí tuệ blockchain PeckShield đã theo dõi các hành động tiếp theo của kẻ tấn công, ghi lại cách mà các tài sản bị đánh cắp đã được chuyển đổi một cách có hệ thống thành:

• 13,785 ETH
• 1.64 triệu stablecoin Dai

Sau khi chuyển đổi, một phần DAI đã được chuyển đến sàn FixedFload, trong khi số tiền bị đánh cắp còn lại được phân phối qua nhiều địa chỉ ví khác nhau để che giấu nguồn gốc của chúng trước khi chuyển khoản Tornado Cash gần đây.

Xu Hướng Tăng Trưởng Của Các Lỗ Hổng Phê Duyệt

Sự cố này đại diện cho một phần của một mô hình đáng lo ngại trong các vụ vi phạm an ninh tiền điện tử. Chỉ riêng trong tháng Hai, gần $47 triệu đã bị mất do các trò lừa đảo liên quan đến lừa đảo theo báo cáo của Scam Sniffer, với:

• 78% các vụ trộm xảy ra trên mạng Ethereum
• Token ERC-20 chiếm 86% tổng số tiền bị đánh cắp

Các lỗ hổng phê duyệt token tiếp tục gây ra những tổn thất nghiêm trọng. Chỉ một ngày trước khi chuyển khoản $10 triệu được xác định, một hợp đồng lỗi thời trước đó được sử dụng bởi sàn giao dịch Dolomite đã bị khai thác, rút 1.8 triệu đô la từ người dùng đã cấp quyền cho hợp đồng. Các nhà phát triển Dolomite sau đó đã thúc giục người dùng hủy tất cả các sự đồng ý với địa chỉ hợp đồng bị xâm phạm.

Phản hồi nhanh chóng ngăn chặn tổn thất thêm

Trong khi nhiều cuộc tấn công dẫn đến tổn thất lớn, các phản ứng an ninh nhanh chóng có thể giảm thiểu thiệt hại. Vào ngày 20 tháng 3, đội ngũ Layerswap đã ngăn chặn thành công việc khai thác thêm sau khi trang web của họ bị xâm phạm, nhờ vào sự can thiệp nhanh chóng từ nhà cung cấp miền của họ. Mặc dù hành động nhanh chóng, các kẻ tấn công vẫn quản lý rút khoảng $100,000 từ khoảng 50 người dùng. Layerswap đã cam kết hoàn tiền cho những người dùng bị ảnh hưởng và cung cấp thêm bồi thường cho sự bất tiện.

Những sự cố tái diễn này nhấn mạnh tầm quan trọng của việc cảnh giác về an ninh trong các giao dịch tiền điện tử. Việc khai thác các chức năng phê duyệt token và các lỗ hổng hợp đồng thông minh cho thấy cần có sự nâng cao trong việc giáo dục người dùng và xác minh cẩn thận tất cả các tương tác với hợp đồng để ngăn chặn việc mất tài sản không cần thiết trong một môi trường đe dọa ngày càng tinh vi.