$24M Зник за лічені хвилини: ось як кит, що займався фішингом, був обікрадений

Криптовалютний кит навчився на власних помилках, чому ніколи не слід натискати випадкові посилання. У вересні 2023 року хтось втратив $24 мільйон через фішинг-атаку на сервіс стейкінгу Rocket Pool — і лише зараз хакер переказав $10 мільйон ETH до Tornado Cash, ймовірно, готуючись до виведення коштів.

Що насправді сталося

Зловмисник застосував класичний соціальний інжиніринг: він змусив жертву авторизувати транзакцію «Збільшити дозволи». Звучить безпечно, так? Але тут підступ — ця дозвола фактично дала хакеру порожній чек на виведення будь-яких ERC-20 токенів з цього гаманця.

За двома хвилями зловмисник вивів:

• 9 579 stETH (застейканий Ethereum)
• 4 851 rETH (токени Rocket Pool)

Загальний збиток: $24 мільйон.

Грошовий слід

Блокчейн-детективи з PeckShield відстежили, як кошти обмінювалися на 13 785 ETH і 1,64 мільйона DAI. $10 Мільйон ETH щойно потрапив до Tornado Cash (мікс-сервіс) 21 березня — класичний хід для відмивання грошей, щоб приховати слід транзакцій.

Це не поодинокий випадок. Лише у лютому фішинг-атаки зняли майже $47 мільйон( з криптовалютних користувачів, причому 78% з них були на Ethereum, а 86% — ERC-20 токени.

Справжня проблема: дозволи на токени — небезпечні

Ось що більшість людей не усвідомлює: коли ви взаємодієте з DeFi-протоколом або створюєте NFT, ви часто підписуєте смарт-контракт, що каже «ця адреса може рухати мої токени». Якщо цей контракт або сайт зламаний — ви в небезпеці.

Лише за кілька днів після цього хакерства ще одна жертва потрапила через старий контракт біржі Dolomite — з рахунків зняли $1,8 мільйона, які користувачі раніше дозволили цій адресі. Dolomite терміново закликала користувачів відкликати ці дозволи якомога швидше.

Оптимістична новина

Не всі атаки мають масштабний успіх. Коли 20 березня зламали сайт Layerswap, їхній DNS-провайдер швидко виявив це, і було вкрадено лише $100 000 )з приблизно 50 користувачами(. Вони повертають усім кошти і додаткову компенсацію.

Що потрібно робити насправді

1. Ніколи не затверджуйте необмежену кількість токенів — більшість протоколів дозволяють встановити власний ліміт
2. Скасовуйте старі дозволи, які вже не використовуєте )перевірте Etherscan або revoke.cash
3. Перевіряйте URL перед підключенням — фішингові сайти виглядають ідентично справжнім
4. Думайте двічі перед підписанням контрактів — особливо з Discord або випадкових посилань

Фірми з безпеки крипто та спільнота потребують кращих систем раннього попередження, але чесно кажучи? Найбезпечніший підхід — це параноїдальність. Уявляйте кожне посилання фейком, доки не доведено протилежне.