$24M フィッシングブリッツ: ハッカーがトークン承認を武器化する方法

2023年9月に暗号通貨のクジラがやられ、ハッカーたちが現金化しました。$10 百万の盗まれたETHが3月21日にトルネードキャッシュに到着しました。これは、$24 百万の合計を奪ったフィッシング攻撃のおかげです。

こちらがプレイブックです:

フェーズ1: ソーシャルエンジニアリングトラップ 被害者は「許可額を増やす」トランザクションを承認しました。無害に聞こえますよね？違います。この一手により、攻撃者は被害者のウォレットから直接ERC-20トークンをスマートコントラクトを使って消費する許可を得ました。古典的な手口—被害者は全く気づきませんでした。

フェーズ2: 抽出

• 9,579 stETHを引き出しました (Rocket Poolステーキング)
• 4,851 rETH を取得しました
• 13,785 ETH + 1.64M DAI に変換されました
• ミキサーやセカンダリウォレットを通して集約された

なぜこれが重要なのか

これは単なる例外ではありません。Scam Snifferのデータによると、$47 月だけでフィッシングによって失われた金額は千百万—78%がEthereumで、ERC-20トークンが最も影響を受けた(全ての盗まれた資金の)86%です(。

実際の驚きは？トークン承認が新たな攻撃ベクターになっていることです。1週間前、古いDolomite契約が利用されて180万ドルを排出しました。同じ話：ユーザーは承認を与え、攻撃者はただ実行したのです。

パターン

これらの攻撃は一つの弱点を利用します：ユーザーは自分が何に署名しているのか理解していません。あなたは一つの取引のための契約を承認しますが、攻撃者は空白の小切手を手に入れます。

結論：どの契約でも「承認」をクリックする前に、自問してください—このアドレスに無制限のトークンアクセスを実際に信頼していますか？ほとんどの場合、その答えは「いいえ」であるべきです。

セキュリティ会社)CertiK、PeckShield、Scam Snifferはお金を追跡できますが、それがトルネードキャッシュに到達すると、戻すことはできません。これは技術的な問題ではなく、ユーザー教育の問題です。