加密货币窃贼将$10M 盗取的姨太转移到Tornado Cash

我刚刚在区块链上观看了一场引人入胜的盗窃事件。一些聪明的黑客在2023年实施了最成功的网络钓鱼骗局之一，将价值$10 千的姨太转移到了Tornado Cash。这不是随便的攻击——他们专门瞄准了一位加密鲸鱼，带走了一笔财富。

在3月21日，CertiK发现有3,700姨太(约1000万美元)被转入混合服务。这些资金是去年九月被盗的更大$24 百万赃款的一部分。令人惊讶的是，这次攻击既简单又有效——鲸鱼中了最古老的骗局：批准了一笔恶意交易。

受害者在一笔交易中点击了“增加授权”，基本上将他们加密王国的钥匙交给了攻击者。仅凭这一单一权限，窃贼可以随意花费受害者的ERC-20代币。经典错误，灾难性后果。

此次攻击分为两波，首先窃取了9,579 stETH，然后又返回同一受害者手中获取了4,851 rETH。这简直是雪上加霜！根据PeckShield的说法，攻击者将所有资产转换为13,785 姨太和1.64百万 DAI，并分散到多个钱包中。

老实说，这个领域的安全状况有时让我想要抓狂。仅在二月份，就有$47 百万被网络钓鱼诈骗所损失，其中高达78%发生在姨太上。为什么人们还会上这些圈套？

即使是成熟的项目也难以幸免。看看Dolomite - 他们的旧合约被利用，用户多年前授予的权限被 exploited 了180万。这些授权利用正成为一种真正的瘟疫。

并非每次攻击都能成功。Layerswap设法将他们的损失限制在“仅仅”$100K ，当他们的网站遭到破坏。他们正在为用户退款，这对他们来说很不错，但预防总比补救要好。

可怕的部分？这些攻击变得越来越复杂，同时利用相同的基本人为错误。如果你在涉足加密货币，三次检查你所授予的每个批准。那些无害的权限请求可能是将你的钱包交给某人的数字等价物。

这正是主流采用仍然具有挑战性的原因 - 一次错误的点击，你的毕生积蓄就会消失在Tornado Cash中。加密货币的狂野西部仍在继续，并不是每个人都能带着他们的财富安全出局。