$24M Исчезло за минуты: как фишинговая китовая атака была нейтрализована

Криптовалютный кит усвоил на собственном опыте, почему никогда не стоит кликать на случайные ссылки. В сентябре 2023 года кто-то потерял $24 миллион через фишинговую атаку на сервис стейкинга Rocket Pool — и только сейчас хакер перевёл $10 миллион ETH в Tornado Cash, вероятно, готовясь к выводу средств.

Что на самом деле произошло

Злоумышленник использовал классическую социальную инженерию: он заставил жертву авторизовать транзакцию «Increase Allowance». Звучит безобидно, да? Но тут есть подвох — эта разрешение фактически давала хакеру «бланковый чек» на вывод любых ERC-20 токенов с этого кошелька.

За две волны злоумышленник вывел:

• 9 579 stETH (застейканного Ethereum)
• 4 851 rETH (токенов Rocket Pool)

Общий ущерб: $24 миллион.

Следы денег

Блокчейн-детективы из PeckShield проследили, как средства обменялись на 13 785 ETH и 1,64 миллиона DAI. Атака с ETH — это классический ход отмывания денег: 21 марта ETH попал в Tornado Cash — сервис микширования, чтобы скрыть следы транзакций.

Это не единичный случай. Только в феврале фишинговые схемы украли почти $10 миллион у крипто-пользователей, из которых 78% — Ethereum, а 86% — ERC-20 токены.

Настоящая проблема: разрешения на токены — опасны

Многие не осознают: когда вы взаимодействуете с DeFi-протоколом или создаёте NFT, вы зачастую подписываете смарт-контракт, который говорит «этот адрес может перемещать мои токены». Если этот контракт или сайт взломают — вы в опасности.

Всего через несколько дней после этого взлома жертва пострадала через старый контракт биржи Dolomite — с неё украли $1,8 миллиона у пользователей, ранее давших разрешение. Dolomite срочно призвал всех отозвать эти разрешения.

Светлая сторона

Не все атаки достигают масштабных успехов. Когда 20 марта сайт Layerswap был взломан, их DNS-провайдер быстро заметил проблему, и было украдено всего $100 000 — примерно у 50 пользователей. Компания компенсирует потери и выплачивает дополнительные возмещения.

Что нужно делать на самом деле

1. Никогда не давайте разрешение на неограниченное использование токенов — большинство протоколов позволяют установить лимит
2. Отзывайте старые разрешения, которыми больше не пользуетесь — проверяйте через Etherscan или revoke.cash
3. Проверяйте URL перед подключением — фишинговые сайты выглядят как настоящие
4. Дважды подумайте перед подписанием контрактов — особенно из Discord или случайных ссылок

Фирмы по безопасности криптовалют и сообщество нуждаются в более ранних системах оповещения, но честно говоря? Самый безопасный подход — быть параноиком. Предполагайте, что каждая ссылка — фейк, пока не докажете обратное.