$10M تم غسل ETH المسروق للتو من خلال Tornado Cash - إليك ما حدث بشكل خاطئ

تذكر هجوم الصيد الاحتيالي $24M على حوت تشفير في سبتمبر 2023؟ الدراما لم تنته بعد. لقد رصدت CertiK للتو المخترق وهو ينقل 3,700 ETH (~$10M بأسعار الحالية ) إلى Tornado Cash في 21 مارس - دليل كلاسيكي على غسيل الأموال.

كيف تعرضوا للخسارة

المُجنى عليه سمح بإجراء عملية “زيادة المخصصات” ( تبدو بريئة، أليس كذلك؟ ). لكن هناك تطور غير متوقع: منح ذلك المهاجم وصولاً غير محدود إلى ETH المرهونة الخاصة بهم من خلال Rocket Pool. تم استخدام العقد الذكي كسلاح. Boom—9,579 stETH + 4,851 rETH اختفوا.

تحركات المهاجم بعد ذلك:

• تم تحويل 13,785 ETH + 1.64M DAI
• قمت ببيع بعض DAI على منصة FixedFloat
• الباقي؟ متناثر عبر المحافظ المجهولة

هذا ليس أسوأ شهر على الإطلاق

خداع العملات الرقمية خارج السيطرة. أظهر تقرير Scam Sniffer لشهر فبراير أن ~$47M قد فقدت بسبب الخداع فقط. 78% حدثت على الإيثريوم. رموز ERC-20 = 86% من الأصول المسروقة. لقد أصبحت موافقات الرموز هي وسيلة الهجوم الجديدة.

كان مارس فوضى:

• 20 مارس: تم استغلال عقد دولوميت القديم بمبلغ 1.8 مليون دولار ( المستخدمين الذين منحوا الموافقة = الضحايا)
• نفس اليوم: موقع Layerswap تم اختراقه، $100K تم سحبها من ~50 مستخدم ( تم تعويضهم + تعويضات على الرغم من )

المشكلة الحقيقية

معظم الناس ليس لديهم أي فكرة عما يوافقون عليه. نقرة واحدة على رابط تصيد، بوم—تم منح الوصول غير المحدود إلى الرموز إلى الأبد. شركات الأمن تصرخ بشأن ذلك، لكن التعليم يتأخر بشدة.

النتيجة النهائية: قبل النقر على “الموافقة” على أي شيء، اسأل نفسك: “هل أعرف فعلاً ما هو العقد الذي أوافق عليه؟” 90% من الوقت، الجواب هو لا. هذه هي الطريقة التي تنتهي بها كـ “حوت” في تقرير الاختراق.