暗号資産泥棒が$10M 盗まれたETHをトルネードキャッシュに送金

私はちょうどブロックチェーン上で魅力的な強盗を目撃しました。ある賢いハッカーが、2023年の中で最も巧妙なフィッシング詐欺の一つを成功させた後、$10 百万相当のETHをトルネードキャッシュに移しました。これは単なるランダムな攻撃ではなく、彼らは特にクリプトクジラをターゲットにし、巨額の富を持ち去ったのです。

3月21日、CertiKは3,700 ETH (約1,000万ドル)がミキサーサービスに送金されるのを発見しました。これらの資金は昨年9月に盗まれたより大きな$24 百万ドルの一部でした。驚くべきことに、攻撃は非常にシンプルでありながら効果的でした - クジラは最も古い手口に引っかかりました：悪意のある取引を承認することです。

被害者は取引で「許可を増やす」をクリックし、基本的に攻撃者に自分の暗号資産の王国の鍵を渡してしまいました。その単一の許可で、泥棒は被害者のERC-20トークンを自由に使うことができました。典型的なミスで、壊滅的な結果を招くことになりました。

攻撃は2波に分かれて発生し、最初に9,579 stETHを奪い、その後同じ被害者からさらに4,851 rETHを奪いました。まさに傷に塩を塗るような行為です！PeckShieldによると、攻撃者は全てを13,785 ETHと1.64百万DAIに変換し、さまざまなウォレットに分散させました。

正直、この分野のセキュリティの状態は時々私を髪を引き抜きたくなるほどです。2月だけで$47 百万がフィッシング詐欺で失われ、そのうちなんと78%がEthereumで発生しました。なぜ人々はまだこれらのトリックに引っかかるのでしょうか？

確立されたプロジェクトでさえ免疫がありません。ドルマイトを見てください - 彼らの古い契約は、数年前に権限を与え忘れたユーザーから180万ドルが悪用されました。これらの承認の悪用は、本当に疫病になりつつあります。

全ての攻撃が成功するわけではありません。しかし、Layerswapは彼らのサイトが侵害された際に損害を「たった」$100K に制限することができました。彼らはユーザーに返金を行っており、それは彼らにとって良いことですが、予防が治療よりも良かったでしょう。

怖い部分は？これらの攻撃は、同じ基本的な人間のミスを利用しながら、ますます高度になっています。暗号に手を出しているなら、与える承認は三重に確認してください。無害に見える許可のリクエストは、誰かに財布を渡すデジタル版である可能性があります。

これが主流の採用が困難な理由です - 一つの間違ったクリックであなたの生涯の貯蓄がTornado Cashに消えてしまいます。暗号のワイルドウエストは続いており、全ての人がその金を持って出られるわけではありません。