Атакующий выводит $10 миллионов в криптовалюте после фишинговой атаки на аккаунт кита

В результате значительного инцидента безопасности, зафиксированного в сентябре 2023 года, инвестор в криптовалюту стал жертвой сложной фишинговой атаки, которая в конечном итоге обошлась ему в $24 миллиона в застейканных активах. Особенно стоит отметить, что злоумышленники успешно вывели $10 миллионов в Ethereum на Tornado Cash — сервис микширования криптовалют, широко используемый для сокрытия происхождения средств. Этот инцидент подчеркивает растущую сложность киберугроз, направленных на криптоинвесторов, и критические уязвимости в том, как пользователи взаимодействуют со смарт-контрактами.

Компрометация началась, когда жертва случайно авторизовала, казалось бы, рутинную транзакцию с токенами. Используя технику, известную как «Increase Allowance», злоумышленник получил программный доступ к криптовладениям инвестора. Фирмы по безопасности блокчейна, такие как CertiK, обнаружили скомпрометированный аккаунт 21 марта, выявив, что примерно 3 700 ETH были переведены в Tornado Cash — часть более крупной потери в $24 миллиона, включающей как stETH от Rocket Pool, так и rETH токены. В то время ETH торговался около $2,98K, что означало огромные капитальные потери для жертвы.

Как одобрения токенов стали оружием против крипто-пользователей

Атака использовала фундаментальную особенность стандарта токенов ERC-20 в Ethereum. Когда пользователи взаимодействуют с децентрализованными приложениями, они часто предоставляют смарт-контрактам разрешение на перемещение своих токенов — удобная функция, которая стала мишенью для злоумышленников. Согласно специалистам по обнаружению мошенничества Scam Sniffer, жертва непреднамеренно одобрила права на траты через механизм разрешений токенов, фактически передав злоумышленнику ключ к своему криптовалютному казначейству.

Эта техника не нова, но ее распространенность вызывает тревогу. Анализ PeckShield показал, что злоумышленник конвертировал украденные активы примерно в 13 785 ETH и 1,64 миллиона DAI (каждый примерно по $1,00 по текущим рыночным курсам). Некоторые из DAI были переведены на биржу FixedFload, однако большая часть украденных средств прошла через несколько кошельков, предназначенных для сокрытия следа.

Связь с Tornado Cash: отмывание украденных криптовалют

Tornado Cash служит важной частью криминальной инфраструктуры. Внося криптовалюту в этот сервис микширования, злоумышленники нарушают прозрачность блокчейна — ключевое преимущество, которое криптовалюты должны были устранить. Перевод в $10 миллионов на Tornado Cash представляет собой попытку злоумышленника отделить себя от отслеживаемого кражи следа и вывести или переместить украденные средства без обнаружения.

Тенденция растущих потерь: фишинговые кражи на сумму $47 миллионов в феврале

Инцидент сентября 2023 года не был единичным. В полном отчете Scam Sniffer сообщается, что только в феврале было потеряно почти $47 миллионов из-за фишинговых мошенничеств. Тревожно, что 78% этих краж произошли в сети Ethereum, а токены ERC-20 составляли 86% всех украденных активов. Эти данные подчеркивают тревожную реальность: несмотря на годы предупреждений о безопасности, инвесторы продолжают терять огромные суммы из-за относительно простых методов эксплуатации.

Недавние инциденты дополнительно демонстрируют масштаб этой уязвимости. 20 марта злоумышленники использовали устаревший контракт биржи Dolomite для вывода $1,8 миллиона у пользователей, ранее предоставивших разрешения на токены этому контракту. Разработчики Dolomite срочно рекомендовали пользователям отменить все разрешения, выданные старому контракту, что оказалось запоздалым для уже скомпрометированных средств.

Когда меры безопасности работают: кейс Layerswap

Не все инциденты в области безопасности криптовалют приводят к полной потере активов. В тот же день, когда был использован уязвимый контракт Dolomite, команда Layerswap смогла остановить атаку на свой сайт после обнаружения несанкционированного доступа. Хотя их быстрая реакция предотвратила полную катастрофу, злоумышленники все равно вывели около $100 000 примерно у 50 пользователей до того, как инцидент был локализован. Layerswap пообещал вернуть пострадавшим пользователям средства и предоставить дополнительную компенсацию — редкость в часто безжалостной экосистеме криптовалют.

Итог: почему злоумышленники нацеливаются на фишинг и одобрения токенов

Упорство фишинговых атак в криптовалюте обусловлено их эффективностью и относительной простотой. В отличие от сложных эксплойтов смарт-контрактов, требующих значительных технических знаний, мошенничество с одобрениями токенов использует социальную инженерию и небрежность пользователей. Каждое украденное средство — будь то $10 миллионов, выведенные в Tornado Cash, или меньшие суммы, украденные через скомпрометированные контракты — свидетельствует о сбое как в осведомленности пользователей, так и в более широкой инфраструктуре безопасности.

Для участников криптовалют важны эти уроки. Внимательность означает тщательную проверку каждого разрешения, понимание, какие права вы предоставляете, и регулярный аудит активных разрешений на таких платформах, как Etherscan. Для индустрии это требует совместной разработки лучших инструментов обнаружения, более ясных систем предупреждений и образовательных инициатив, помогающих пользователям распознавать фишинговые попытки до того, как они авторизуют вредоносные транзакции. Пока эти меры не станут стандартной практикой, злоумышленники продолжат выводить миллионы в криптовалюте через фишинг и эксплуатацию одобрений токенов.