$24M Lừa đảo Blitz: Cách Hacker đang vũ khí hóa việc phê duyệt Token

Một cá voi tiền điện tử đã bị thiệt hại vào tháng 9 năm 2023—và những kẻ hack vừa mới rút tiền. $10 triệu ETH bị đánh cắp đã xuất hiện tại Tornado Cash vào ngày 21 tháng 3, nhờ một cuộc tấn công lừa đảo đã lấy được tổng cộng $24 triệu.

Đây là kế hoạch:

Giai đoạn 1: Bẫy Kỹ Thuật Xã Hội Nạn nhân đã ủy quyền một giao dịch “Tăng Hạn Mức”. Nghe có vẻ vô hại, đúng không? Sai rồi. Chỉ một động thái này đã cho phép kẻ tấn công chi tiêu các token ERC-20 trực tiếp từ ví của nạn nhân bằng cách sử dụng hợp đồng thông minh. Đó là một động thái cổ điển—nạn nhân không bao giờ lường trước được.

Giai đoạn 2: Sự Chiết Xuất

• Đã rút 9,579 stETH (Rocket Pool staking)
• Đã lấy 4,851 rETH
• Đã chuyển đổi thành 13,785 ETH + 1.64M DAI
• Được chuyển qua các máy trộn và ví phụ

Tại Sao Điều Này Quan Trọng

Đây không phải là một trường hợp ngoại lệ. Dữ liệu Scam Sniffer cho thấy $47 triệu bị mất do lừa đảo trong tháng Hai một mình—78% trên Ethereum, với các token ERC-20 bị ảnh hưởng nặng nề (86% tổng số tiền bị đánh cắp ).

Điều đáng chú ý? Phê duyệt token đang trở thành vector tấn công mới. Một tuần trước, một hợp đồng Dolomite cũ đã bị khai thác để rút 1.8 triệu đô la. Câu chuyện tương tự: người dùng đã cấp phê duyệt, kẻ tấn công chỉ cần thực thi.

Mô Hình

Những cuộc tấn công này khai thác một điểm yếu: người dùng không hiểu họ đang ký gì. Bạn phê duyệt một hợp đồng cho một giao dịch, kẻ tấn công nhận được một tấm séc trắng.

Kết luận: Trước khi nhấp vào “Chấp thuận” trên bất kỳ hợp đồng nào, hãy tự hỏi bản thân—tôi có thực sự tin tưởng địa chỉ này với quyền truy cập không giới hạn vào token không? Hầu hết thời gian, câu trả lời nên là không.

Các công ty bảo mật (CertiK, PeckShield, Scam Sniffer) có thể theo dõi tiền, nhưng họ không thể lấy lại được khi nó đã vào Tornado Cash. Đây là một vấn đề giáo dục người dùng, không phải là vấn đề công nghệ.