$10M ETH yang dicuri baru saja dicuci melalui Tornado Cash — Berikut adalah apa yang salah

Ingatkah Anda tentang $24M serangan phishing pada seorang paus crypto pada bulan September 2023? Drama ini belum berakhir. CertiK baru saja menemukan peretas yang memindahkan 3.700 ETH (~$10M pada harga saat ini ) ke Tornado Cash pada 21 Maret—panduan klasik pencucian uang.

Bagaimana Mereka Terkena

Korban mengizinkan transaksi “Tingkatkan Allowance” ( terdengar tidak bersalah, kan?). Plot twist: itu memberikan penyerang akses tak terbatas ke ETH yang dipertaruhkan melalui Rocket Pool. Kontrak pintar dijadikan senjata. Boom—9.579 stETH + 4.851 rETH lenyap.

Gerakan penyerang setelah itu:

• Mengonversi 13.785 ETH + 1,64M DAI
• Menjual beberapa DAI di bursa FixedFloat
• Sisanya? Tersebar di dompet anonim

Ini Bahkan Bukan Bulan Terburuk

Phishing di crypto sudah di luar kendali. Laporan Februari Scam Sniffer menunjukkan ~$47M hilang hanya karena phishing. 78% terjadi di Ethereum. Token ERC-20 = 86% dari aset yang dicuri. Persetujuan token telah menjadi vektor serangan baru.

Maret adalah kekacauan:

• 20 Maret: Kontrak lama Dolomite dieksploitasi senilai $1.8M (pengguna yang memberikan persetujuan = korban)
• Hari yang sama: Situs web Layerswap diretas, $100K disedot dari ~50 pengguna ( mereka mendapatkan pengembalian dana + kompensasi meskipun )

Masalah Sebenarnya

Sebagian besar orang tidak tahu apa yang mereka setujui. Satu klik pada tautan phishing, boom—akses token tak terbatas diberikan selamanya. Perusahaan keamanan berteriak tentang hal ini, tetapi pendidikan tertinggal jauh.

Intinya: Sebelum mengklik “setujui” pada apa pun, tanyakan pada diri sendiri: “Apakah saya benar-benar tahu kontrak apa yang saya otorisasi?” 90% dari waktu, jawabannya tidak. Begitulah cara Anda berakhir sebagai “ikan paus” dalam laporan peretasan.