Атакуючий siphons $10 мільйонів у криптовалюті після фішингової атаки на рахунок китів

У значущому інциденті безпеки, що відбувся у вересні 2023 року, інвестор у криптовалюту став жертвою складної фішингової атаки, яка в кінцевому підсумку коштувала йому $24 мільйони у застейканих активів. Найбільш помітно, що зловмисники успішно вивели $10 мільйонів у Ethereum до Tornado Cash — сервісу змішування криптовалют, який часто використовується для приховування походження коштів. Цей інцидент підкреслює зростаючу складність кіберзагроз, що спрямовані на інвесторів у крипто, та критичні вразливості у способі взаємодії користувачів із смарт-контрактами.

Компрометація почалася, коли жертва випадково надала дозвіл на, здавалося б, рутинну транзакцію токенів. За допомогою техніки, відомої як “Increase Allowance”, зловмисник отримав програмний доступ до криптоволодінь інвестора. Фірми з безпеки блокчейну, зокрема CertiK, виявили скомпрометований акаунт 21 березня, що показало, що близько 3,700 ETH було переказано до Tornado Cash — у рамках більшого збитку у $24 мільйони, що включав як stETH з Rocket Pool, так і rETH токени. Оскільки ETH торгувався близько $2.98K на той час, це становило величезну капітальну втрату для жертви.

Як дозволи на токени стали зброєю проти користувачів крипто

Атака використала фундаментальну особливість стандарту токенів ERC-20 в Ethereum. Коли користувачі взаємодіють із децентралізованими додатками, вони часто надають смарт-контрактам дозвіл на переміщення своїх токенів — зручна функція, яка стала головною ціллю для зловмисників. За словами фахівців із виявлення шахрайства в Scam Sniffer, жертва непомітно надала права на витрати через механізм дозволу токенів, фактично передавши зловмиснику ключ до їхнього криптовалютного казначейства.

Ця техніка не нова, але її поширеність викликає тривогу. Аналіз PeckShield показав, що зловмисник конвертував викрадені активи у приблизно 13,785 ETH і 1.64 мільйонів DAI (кожен приблизно на $1.00 за поточними ринковими курсами). Хоча частина DAI була переведена на біржу FixedFload, більша частина викрадених коштів проходила через кілька гаманців, створених для приховування сліду.

Зв’язок із Tornado Cash: відмивання викраденої крипти

Tornado Cash виконує важливу роль у кримінальній інфраструктурі. Вносячи криптовалюту до цього сервісу змішування, зловмисники порушують прозорість блокчейну — ключову перевагу, яку криптовалюти мають мати. Переведення $10 мільйонів до Tornado Cash є спробою зловмисника відокремити себе від відстежуваної крадіжки і вивести або перемістити викрадені кошти без виявлення.

Тенденція зростання втрат: фішингові крадіжки на $47 мільйонів у лютому

Інцидент вересня 2023 року не був ізольованим випадком. У всеосяжному звіті Scam Sniffer повідомляється, що у лютому було втрачено майже $47 мільйонів через фішингові шахрайства. Тривожно, що 78% цих крадіжок трапилися у мережі Ethereum, а ERC-20 токени становили 86% усіх викрадених активів. Ці дані підкреслюють тривожну реальність: попри роки попереджень про безпеку, інвестори продовжують втрачати величезні суми через досить прості техніки експлуатації.

Останні інциденти ще раз демонструють масштаб цієї вразливості. 20 березня зловмисники використали застарілий контракт біржі Dolomite для виведення $1.8 мільйонів з користувачів, які раніше надали дозволи цьому контракту. Розробники Dolomite терміново закликали користувачів відкликати всі дозволи, надані старому контракту, але це запізніла реакція, яка не врятувала вже скомпрометовані кошти.

Коли заходи безпеки працюють: кейс Layerswap

Не кожен інцидент у сфері безпеки криптовалют закінчується повною втратою активів. У той самий день, коли був зламаний Dolomite, команда Layerswap змогла зупинити атаку на свій сайт після виявлення несанкціонованого доступу. Хоча їх швидка реакція запобігла повній катастрофі, зловмисники все ж вивели близько $100,000 з приблизно 50 користувачів до того, як атака була зупинена. Layerswap пообіцяв повернути кошти постраждалим користувачам і надати додаткову компенсацію — рідкість у часто-жорстокій екосистемі крипто.

Висновок: чому зловмисники цілеспрямовано атакують через фішинг і дозволи на токени

Упередженість фішингових атак у криптовалюті зумовлена їхньою ефективністю та відносною простотою. На відміну від складних експлуатацій смарт-контрактів, що вимагають значних технічних знань, шахрайства з дозволами на токени використовують соціальну інженерію та недбалість користувачів. Кожен викрадений актив — будь то $10 мільйонів, виведені до Tornado Cash, або менші суми, витягнуті через скомпрометовані контракти — є провалом як у свідомості користувачів, так і у ширшій системі безпеки.

Для учасників криптовалютної сфери ці уроки є критичними. Уважність означає ретельно перевіряти кожне надання дозволу, розуміти, які права ви надаєте, і регулярно перевіряти активні дозволи на таких платформах, як Etherscan. Для галузі це вимагає спільної розробки кращих інструментів виявлення, більш зрозумілих систем попереджень і освітніх ініціатив, що допомагають користувачам розпізнавати фішингові спроби до того, як вони підпишуться на зловмисні транзакції. Поки ці заходи не стануть стандартною практикою, зловмисники продовжать виводити мільйони у криптовалюті через фішинг і експлуатацію дозволів на токени.