$10M ETH bị đánh cắp vừa được rửa tiền qua Tornado Cash — Đây là những gì đã xảy ra sai.

Còn nhớ vụ lừa đảo $24M vào một cá voi crypto vào tháng 9 năm 2023 không? Câu chuyện chưa kết thúc. CertiK vừa phát hiện hacker chuyển 3,700 ETH (~$10M theo giá hiện tại) vào Tornado Cash vào ngày 21 tháng 3—một cách chơi rửa tiền kinh điển.

Họ đã bị Rekt như thế nào

Nạn nhân đã ủy quyền một giao dịch “Tăng Giới Hạn” ( nghe có vẻ vô tội, đúng không? ). Bất ngờ: nó đã cho kẻ tấn công quyền truy cập không giới hạn vào ETH đã đặt cọc của họ thông qua Rocket Pool. Hợp đồng thông minh đã bị lợi dụng. Bùm—9,579 stETH + 4,851 rETH đã biến mất.

Các bước của kẻ tấn công sau đó:

• Đã chuyển đổi 13,785 ETH + 1.64M DAI
• Đã bán một ít DAI trên sàn FixedFloat
• Phần còn lại? Rải rác trên các ví ẩn danh

Tháng này còn không phải là tháng tồi tệ nhất

Lừa đảo trong crypto đang vượt ngoài tầm kiểm soát. Báo cáo tháng Hai của Scam Sniffer cho thấy ~$47M đã bị mất do lừa đảo chỉ riêng. 78% xảy ra trên Ethereum. Token ERC-20 = 86% tài sản bị đánh cắp. Phê duyệt token đã trở thành vectơ tấn công mới.

Tháng Ba thật hỗn loạn:

• 20 tháng 3: Hợp đồng cũ của Dolomite bị khai thác với số tiền 1.8 triệu USD (người dùng đã cấp quyền = nạn nhân)
• Cùng ngày: Trang web của Layerswap bị xâm phạm, $100K bị rút từ ~50 người dùng ( họ đã được hoàn tiền + bồi thường tuy nhiên )

Vấn Đề Thực Sự

Hầu hết mọi người không có ý tưởng gì về những gì họ đang phê duyệt. Chỉ cần một cú nhấp chuột vào một liên kết lừa đảo, bùm—quyền truy cập token không giới hạn được cấp vĩnh viễn. Các công ty an ninh đang kêu gào về điều này, nhưng việc giáo dục đang chậm chạp.

Kết luận: Trước khi nhấp vào “chấp thuận” trên bất kỳ điều gì, hãy tự hỏi bản thân: “Tôi thực sự biết hợp đồng nào mà tôi đang ủy quyền không?” 90% thời gian, câu trả lời là không. Đó là cách bạn trở thành một “cá voi” trong một báo cáo hack.