黑客通过网络钓鱼攻击将$10 千美元转入Tornado Cash

一位加密货币"鲸鱼"在2023年成为一起复杂网络钓鱼攻击的受害者，无意中授权了交易，使得黑客得以获取他们的数字财富。在最近的发展中，攻击者已将价值$10 千以太转移到Tornado Cash，这是一项臭名昭著的加密货币混合服务，旨在模糊交易痕迹。

在3月21日，安全公司CertiK发现黑客的一个账户将3,700 以太转移到Tornado Cash。该账户与2023年9月6日的一次攻击有关，该攻击通过Rocket Pool质押服务从受害者那里盗取了令人震惊的$24 百万。盗窃分两波进行，首先盗取了9,579 stETH，然后是4,851 rETH。

我之前见过这种模式——受害者在不知情的情况下签署了他们的资产。根据 Scam Sniffer 的说法，鲸鱼授权了一笔 “增加额度” 交易，基本上是给了黑客花费他们代币的权限。这看似无害的批准功能已经成为骗子们的最爱武器。

加密社区一直在讨论这些代币批准的风险。许多用户没有意识到，当与可疑的智能合约互动时，他们可能正在将恶意行为者的钥匙交给他们的数字保险库。

PeckShield的分析显示，攻击者将被盗资产转换为13,785以太和164万Dai，随后将部分DAI转移到FixedFload交易所，同时将剩余资金分布到多个钱包中。

仅在二月份，就有近$47 百万因网络钓鱼诈骗而损失，以太坊网络占这些盗窃的78%。ERC-20代币占被盗资金的86%——这一严峻的统计数据应该让我们所有人都质疑我们的安全实践。

旧合约的利用持续困扰着用户。就在最近，一个过时的Dolomite交易所合约被利用，导致用户损失了180万美元，这些用户之前已授予了权限。开发者们紧急呼吁用户撤销对被攻陷地址的所有批准。

并非所有攻击都能完全成功。当Layerswap的网站遭到入侵时，他们迅速的反应将损失限制在“仅仅”100,000美元，影响了大约50名用户。他们承诺退款和赔偿，但对用户信心的损害仍然存在。

这些事件凸显了我们每天在加密货币中航行的危险环境。对代币授权和智能合约的利用需要更大的警惕和教育。没有改善的安全措施和用户意识，我们将继续看到数百万美元通过这些复杂的社会工程攻击从毫无防备的受害者手中被抽走。