Kẻ trộm tiền điện tử chuyển $10M ETH bị đánh cắp đến Tornado Cash

Tôi vừa xem một vụ cướp thú vị diễn ra trên blockchain. Một hacker thông minh đã chuyển $10 triệu worth của ETH tới Tornado Cash sau khi thực hiện một trong những trò lừa đảo lừa đảo tinh vi nhất của năm 2023. Đây không phải là một cuộc tấn công ngẫu nhiên - họ đã nhắm vào một cá voi tiền điện tử và đã cuỗm đi một gia tài.

Vào ngày 21 tháng 3, CertiK đã phát hiện 3,700 ETH ( khoảng 10 triệu đô la ) đang được chuyển vào dịch vụ trộn. Những khoản tiền này là một phần của một vụ trộm lớn hơn trị giá $24 triệu đô la bị đánh cắp vào tháng Chín năm ngoái. Điều đáng ngạc nhiên là cách mà cuộc tấn công này đơn giản nhưng hiệu quả - con cá voi đã mắc phải một mẹo cổ điển: phê duyệt một giao dịch độc hại.

Nạn nhân đã nhấp vào "Tăng giới hạn" trong một giao dịch, về cơ bản đã trao cho kẻ tấn công những chiếc chìa khóa đến vương quốc tiền điện tử của họ. Với quyền hạn đó, kẻ trộm có thể tiêu xài các token ERC-20 của nạn nhân tùy ý. Sai lầm cổ điển, hậu quả thảm khốc.

Cuộc tấn công xảy ra trong hai đợt, đầu tiên lấy đi 9,579 stETH, sau đó quay lại để lấy thêm 4,851 rETH từ cùng một nạn nhân. Thật là thêm dầu vào lửa! Theo PeckShield, kẻ tấn công đã chuyển đổi mọi thứ thành 13,785 ETH và 1.64 triệu DAI, phân bổ nó vào nhiều ví khác nhau.

Thật lòng mà nói, tình trạng an ninh trong lĩnh vực này đôi khi khiến tôi muốn kéo tóc của mình ra. Chỉ riêng tháng Hai đã có $47 triệu bị mất do lừa đảo phishing, với 78% trong số đó xảy ra trên Ethereum. Tại sao mọi người vẫn tiếp tục bị rơi vào những trò lừa này?

Ngay cả những dự án đã được thành lập cũng không miễn nhiễm. Chỉ cần nhìn vào Dolomite - hợp đồng cũ của họ đã bị khai thác với số tiền 1.8 triệu đô la từ những người dùng đã cấp quyền từ nhiều năm trước và quên mất chúng. Những vụ khai thác phê duyệt này đang trở thành một căn bệnh thực sự.

Tuy nhiên, không phải mọi cuộc tấn công đều thành công. Layerswap đã quản lý để giới hạn thiệt hại của họ chỉ còn $100K khi trang web của họ bị xâm phạm. Họ đang hoàn tiền cho người dùng, điều này là tốt của họ, nhưng phòng ngừa thì tốt hơn là chữa trị.

Điều đáng sợ? Những cuộc tấn công này ngày càng trở nên tinh vi hơn trong khi vẫn khai thác những sai lầm cơ bản của con người. Nếu bạn đang tham gia vào tiền mã hóa, hãy kiểm tra kỹ lưỡng mọi phê duyệt mà bạn cấp. Những yêu cầu quyền hạn vô hại đó có thể là tương đương kỹ thuật số với việc đưa ai đó ví tiền của bạn.

Đây chính là lý do tại sao việc áp dụng chính thống vẫn còn thách thức - chỉ cần một cú nhấp chuột sai và số tiền tiết kiệm cả đời của bạn sẽ biến mất vào Tornado Cash. Miền tây hoang dã của crypto vẫn tiếp diễn, và không phải ai cũng có thể ra ngoài với vàng của mình.