$10 百万加密货币盗窃通过Tornado Cash转移，暴露了关键的安全漏洞

一位去年遭遇复杂网络钓鱼攻击的加密货币"鲸鱼"，看到价值$10 百万的被盗以太被转移到加密货币混合服务Tornado Cash，这突显了数字资产生态系统中持续存在的安全威胁。

九月黑客攻击后的主要资金流动

在3月21日，区块链安全公司CertiK发现可疑活动，一些与2023年9月钓鱼事件相关的账户转移了3,700以太(大约$10 百万)给Tornado Cash。此次转移代表了在2023年9月6日原始攻击中被盗的$24 百万数字资产的一大部分。

受害者是一位加密货币鲸鱼，通过Rocket Pool流动性质押服务失去了大量以太的质押资产。复杂的攻击分为两个不同的阶段：

• 第一阶段：移除9,579 stETH
• 第二阶段：盗取4,851 rETH

漏洞的技术分析

安全项目 Scam Sniffer 揭示了导致攻击的技术漏洞：受害者授权了一笔 "Increase Allowance" 交易，这证明是灾难性的。这个特定的智能合约功能允许第三方在获得同意的情况下支配他人的 ERC-20 代币。

攻击是如何进行的：

1. 受害者授权了一个"增加津贴"交易
2. 攻击者获得了对受害者代币的审批权
3. 智能合约功能被利用来转移代币
4. 资产被转换以最大化匿名性

安全漏洞引发了加密货币社区对代币批准固有风险的激烈讨论，特别是在与潜在恶意智能合约交互时。

资产转换与洗钱路径

区块链智能公司PeckShield追踪了攻击者的后续行动，记录了被盗资产是如何被系统性地转换为：

• 13,785 以太
• 164万Dai稳定币

在转换之后，部分DAI被转移到FixedFload交易所，而剩余的被盗资金则分散到多个钱包地址，以掩盖其来源，在最新的Tornado Cash转账之前。

批准漏洞的增长趋势

这一事件代表了加密货币安全漏洞中的一个令人担忧的模式。仅在二月份，依据Scam Sniffer的报告，几乎有$47 百万因网络钓鱼相关诈骗而损失，具体为：

• 78% 的盗窃发生在以太网络上
• ERC-20 代币占所有被盗资金的 86%

代币授权漏洞继续造成重大损失。在识别出这笔 $10 万的转账前一天，Dolomite 交易所以前使用的过时合约被利用，导致用户授权该合约的 180 万美元被盗。Dolomite 开发者随后敦促用户撤销对已被攻陷合约地址的所有授权。

快速响应防止进一步损失

虽然许多攻击导致了巨大的损失，但迅速的安全响应可以减轻损害。3月20日，Layerswap团队在其网站被攻破后成功阻止了进一步的利用，这得益于其域名提供商的快速干预。尽管他们迅速采取了行动，攻击者仍然设法从大约50名用户那里提取了约100,000美元。Layerswap承诺将向受影响的用户退款，并提供额外的补偿以弥补不便。

这些反复发生的事件强调了在加密货币交易中保持安全警惕的重要性。对代币批准功能和智能合约漏洞的利用突显了加强用户教育和仔细验证所有合约交互的必要性，以防止在日益复杂的威胁环境中不必要的资产损失。