$10M ETH robado acaba de ser lavado a través de Tornado Cash — Esto es lo que salió mal

¿Recuerdas el ataque de phishing $24M a un ballena cripto en septiembre de 2023? El drama no ha terminado. CertiK acaba de detectar al hacker moviendo 3,700 ETH (~$10M a precios actuales ) en Tornado Cash el 21 de marzo—un clásico del manual de lavado de dinero.

Cómo se arruinaron

La víctima autorizó una transacción de “Aumentar Asignación” (suena inocente, ¿verdad?). Giro inesperado: le dio al atacante acceso ilimitado a su ETH apostado a través de Rocket Pool. El contrato inteligente fue utilizado como arma. Boom—9,579 stETH + 4,851 rETH desaparecieron.

Los movimientos del atacante después de eso:

• Convertido 13,785 ETH + 1.64M DAI
• Vendí un poco de DAI en el intercambio FixedFloat
• ¿El resto? Disperso en carteras anónimas

Este ni siquiera es el peor mes

El phishing en crypto está fuera de control. El informe de febrero de Scam Sniffer mostró que se perdieron ~$47M solo por phishing. El 78% ocurrió en Ethereum. Los tokens ERC-20 representan el 86% de los activos robados. Las aprobaciones de tokens se han convertido en el nuevo vector de ataque.

Marzo fue un caos:

• 20 de marzo: El antiguo contrato de Dolomite explotado por $1.8M (usuarios que otorgaron aprobación = víctimas)
• Mismo día: El sitio web de Layerswap fue comprometido, $100K siphoned de ~50 usuarios (les reembolsaron + compensación, aunque )

El verdadero problema

La mayoría de las personas no tienen idea de lo que están aprobando. Un clic en un enlace de phishing, boom—acceso ilimitado a tokens concedido para siempre. Las empresas de seguridad están gritando al respecto, pero la educación está quedando muy atrás.

Conclusión: Antes de hacer clic en “aprobar” en cualquier cosa, pregúntate: “¿Realmente sé qué contrato estoy autorizando?” El 90% del tiempo, la respuesta es no. Así es como terminas siendo un “whale” en un informe de hackeo.