黑客通過網絡釣魚攻擊將$10 千美元轉入Tornado Cash

一位加密貨幣"鯨魚"在2023年成爲一起復雜網絡釣魚攻擊的受害者，無意中授權了交易，使得黑客得以獲取他們的數字財富。在最近的發展中，攻擊者已將價值$10 千以太轉移到Tornado Cash，這是一項臭名昭著的加密貨幣混合服務，旨在模糊交易痕跡。

在3月21日，安全公司CertiK發現黑客的一個帳戶將3,700 以太轉移到Tornado Cash。該帳戶與2023年9月6日的一次攻擊有關，該攻擊通過Rocket Pool質押服務從受害者那裏盜取了令人震驚的$24 百萬。盜竊分兩波進行，首先盜取了9,579 stETH，然後是4,851 rETH。

我之前見過這種模式——受害者在不知情的情況下籤署了他們的資產。根據 Scam Sniffer 的說法，鯨魚授權了一筆 “增加額度” 交易，基本上是給了黑客花費他們代幣的權限。這看似無害的批準功能已經成爲騙子們的最愛武器。

加密社區一直在討論這些代幣批準的風險。許多用戶沒有意識到，當與可疑的智能合約互動時，他們可能正在將惡意行爲者的鑰匙交給他們的數字保險庫。

PeckShield的分析顯示，攻擊者將被盜資產轉換爲13,785以太和164萬Dai，隨後將部分DAI轉移到FixedFload交易所，同時將剩餘資金分布到多個錢包中。

僅在二月份，就有近$47 百萬因網絡釣魚詐騙而損失，以太坊網路佔這些盜竊的78%。ERC-20代幣佔被盜資金的86%——這一嚴峻的統計數據應該讓我們所有人都質疑我們的安全實踐。

舊合約的利用持續困擾着用戶。就在最近，一個過時的Dolomite交易所合約被利用，導致用戶損失了180萬美元，這些用戶之前已授予了權限。開發者們緊急呼籲用戶撤銷對被攻陷地址的所有批準。

並非所有攻擊都能完全成功。當Layerswap的網站遭到入侵時，他們迅速的反應將損失限制在“僅僅”100,000美元，影響了大約50名用戶。他們承諾退款和賠償，但對用戶信心的損害仍然存在。

這些事件凸顯了我們每天在加密貨幣中航行的危險環境。對代幣授權和智能合約的利用需要更大的警惕和教育。沒有改善的安全措施和用戶意識，我們將繼續看到數百萬美元通過這些復雜的社會工程攻擊從毫無防備的受害者手中被抽走。