$24M Фішинг Бліц: Як Хакери Озброюють Токенові Узгодження

Криптовалютний кит постраждав у вересні 2023 року — і хакери тільки що вивели гроші. $10 мільйон вкраденого ETH потрапив у Tornado Cash 21 березня, завдяки фішинговій атаці, яка захопила $24 мільйон в цілому.

Ось план дій:

Фаза 1: Пастка соціальної інженерії Жертва авторизувала транзакцію “Збільшити дозволи”. Здається безневинно, так? Неправильно. Цей один крок надав зловмисникам дозвіл витрачати ERC-20 токени безпосередньо з гаманця жертви, використовуючи смарт-контракти. Класичний хід — жертва ніколи цього не очікувала.

Фаза 2: Видобуток

• Виведено 9,579 stETH ( стейкінг Rocket Pool )
• Захоплено 4,851 rETH
• Конвертовано в 13,785 ETH + 1.64M DAI
• Пропущено через міксери та вторинні гаманці

Чому це важливо

Це не якийсь крайній випадок. Дані Scam Sniffer показують, що $47 мільйон втрачених через фішинг лише в лютому — 78% на Ethereum, при цьому найбільше постраждали токени ERC-20 — 86% від усіх вкрадених коштів.

Справжній удар? Токен-апробації стають новим вектором атаки. Тиждень тому старий контракт Dolomite був використаний для виведення $1.8M. Та ж історія: користувачі надали дозволи, зловмисники просто виконали.

Шаблон

Ці атаки атакують одну слабкість: користувачі не розуміють, що підписують. Ви погоджуєтеся на контракт для однієї транзакції, зловмисник отримує чистий чек.

Основна суть: Перш ніж натискати “Схвалити” на будь-якому контракті, запитайте себе – чи дійсно я довіряю цій адресі з необмеженим доступом до токенів? У більшості випадків відповідь має бути ні.

Фірми безпеки (CertiK, PeckShield, Scam Sniffer) можуть відстежувати гроші, але вони не можуть їх повернути, як тільки вони потрапляють у Tornado Cash. Це проблема навчання користувачів, а не технічна проблема.