$10M の盗まれたETHがトルネードキャッシュに到達—何が起こったのか

2023年9月のフィッシング災害を覚えていますか？クジラがステークされた資産から$24M を奪われた事件です。さて、攻撃者は3月21日に再び$10M 相当のETHをトルネードキャッシュに移動させました—そしてブロックチェーンは完全な領収書を残しました。

タイムライン

CertiKが捉えた：3,700 ETHがミキサーに入る。これらは無作為な資金ではなく、9月にRocket Poolのステーキング被害者から略奪されたものだった。ハッキングは2つの動きで発生した：最初に9,579 stETHが消え、次に4,851 rETHが吸い上げられた。その時の総被害額は？ $24 百万。

攻撃が実際にどのように機能したか

誰も認めたくない汚い秘密があります：被害者自身がそれを承認したのです。 まあ、ある意味では。Scam Snifferはそれを「増加許可」トランザクションに遡りました。基本的に、フィッシングリンクは被害者にスマートコントラクトに署名させ、「ねえ、このウォレットは今私のトークンを使えるよ」と言わせました。クラシックなミスディレクションです。攻撃者はこの承認を利用して、直接ステークされたETHを引き出しました。

より大きな視点

これは孤立したものではありません。Scam Snifferのデータによると:

• $47 百万がフィッシングで失われた2月だけで
• 78%の盗難はEthereumで発生しました
• 86%の盗まれた資産はERC-20トークンでした

トークン承認の悪用はますます悪化しています。Dolomiteのユーザーは、権限を取り消すのを忘れていた古い契約を使用して、3月20日に$1.8Mを失いました。Layerswapも影響を受けました—$100K の50人のユーザーから、彼らのサイトが侵害されたとき(、ただし返金しています)。

本当の問題

トークン承認は、セキュリティの悪夢となった設計機能です。承認にサインすると、実質的に誰かに空白の小切手を渡していることになります。ほとんどのユーザーは、自分が何を承認しているのか全く分かりません。攻撃者は、いつでも好きなだけ取得することができます。

これが意味すること

フィッシングは洗練されていないわけではなく、怠惰になってきている。攻撃者はほとんどの人が自分が署名している内容を読まないことを知っている。1つの怪しいリンク、1つの承認トランザクションで、あなたのポートフォリオ全体が気づく前にミキサーに送られてしまう可能性がある。

テイクアウェイは？ 古い承認を取り消し、すべての契約アドレスを確認し、すべてのフィッシングリンクがトークン承認を狙っていると考えなければなりません。ネタバレ警告：そうです。