$10 Triệu ETH từ Lừa đảo đã được chuyển đến Tornado Cash

Một sự cố bảo mật nghiêm trọng đã xảy ra trong lĩnh vực tiền điện tử, nơi mà các quỹ thu được thông qua một cuộc tấn công lừa đảo đã được truy vết đến một dịch vụ trộn tiền tập trung vào quyền riêng tư.

Chi tiết tấn công

Vào ngày 21 tháng 3, công ty bảo mật blockchain CertiK đã xác định rằng một tài khoản liên quan đến một cuộc tấn công lừa đảo vào tháng 9 năm 2023 đã chuyển 3,700 ETH ( trị giá khoảng $10 triệu) đến Tornado Cash, một dịch vụ trộn tiền điện tử làm mờ nguồn gốc giao dịch.

Các quỹ ban đầu đã bị đánh cắp vào ngày 6 tháng 9 năm 2023, khi một "cá voi" ( nhà đầu tư nắm giữ một lượng lớn tiền điện tử ) trở thành nạn nhân của một cuộc tấn công lừa đảo tinh vi. Tổng thiệt hại từ cuộc tấn công lên đến $24 triệu token Ethereum đã được stake.

Phân tích kỹ thuật

Cuộc tấn công xảy ra trong hai giai đoạn khác nhau:

• Giai đoạn đầu tiên: 9,579 stETH ( Ethereum) đã bị gỡ bỏ
• Giai đoạn thứ hai: 4,851 rETH (Rocket Pool ETH) đã bị đánh cắp

Theo dự án Scam Sniffer, một sáng kiến phát hiện gian lận, nạn nhân đã ủy quyền cho một giao dịch "Tăng Giới Hạn". Sai lầm nghiêm trọng này đã cho phép kẻ tấn công phê duyệt các giao dịch chuyển token cho lợi ích riêng của mình. Chức năng này, được tích hợp trong các hợp đồng thông minh, cho phép bên thứ ba chi tiêu các token ERC-20 thuộc về người khác - nhưng chỉ với sự ủy quyền hợp lệ.

Công ty an ninh PeckShield đã ghi nhận rằng kẻ tấn công đã chuyển đổi tài sản bị đánh cắp thành 13,785 ETH và 1.64 triệu Dai. Một phần của số tiền này đã được chuyển đến sàn giao dịch FixedFload, trong khi các tài sản còn lại được phân phối giữa nhiều địa chỉ ví khác nhau.

Tác động ngành

Các cuộc tấn công lừa đảo tiếp tục là một mối đe dọa lớn đối với những người nắm giữ tiền điện tử. Dự án Scam Sniffer báo cáo rằng chỉ trong tháng Hai, gần $47 triệu đã bị mất do các trò lừa đảo liên quan đến phishing. Phân tích của họ cho thấy rằng:

• 78% trong số các vụ trộm này xảy ra trên mạng Ethereum
• 86% số tiền bị đánh cắp là token ERC-20

Các vấn đề bảo mật liên quan đến việc phê duyệt token đã gây ra những lo ngại đáng kể trong cộng đồng tiền điện tử. Trong một sự cố riêng biệt vào ngày 20 tháng 3, một hợp đồng lỗi thời trước đây được sử dụng bởi sàn giao dịch Dolomite đã bị khai thác, dẫn đến việc $1.8 triệu bị rút từ người dùng đã cấp quyền cho hợp đồng.

Sự cố bảo mật gần đây

Không phải tất cả các vi phạm an ninh đều dẫn đến tổn thất không thể khắc phục. Vào ngày 20 tháng 3, đội ngũ Layerswap đã thành công trong việc hạn chế thiệt hại sau khi trang web của họ bị xâm phạm, nhờ vào phản ứng nhanh chóng từ nhà cung cấp tên miền của họ. Mặc dù những nỗ lực này, kẻ tấn công vẫn quản lý để đánh cắp khoảng $100,000 từ khoảng 50 người dùng. Layerswap đã cam kết hoàn trả cho những người dùng bị ảnh hưởng và cung cấp bồi thường thêm.

Những sự cố này làm nổi bật những thách thức bảo mật dai dẳng mà người dùng tiền điện tử phải đối mặt, đặc biệt là liên quan đến việc phê duyệt token và tương tác với hợp đồng thông minh. Khi các kỹ thuật lừa đảo trở nên tinh vi hơn, việc nâng cao nhận thức về bảo mật và các quy trình xác minh trở nên ngày càng cần thiết để bảo vệ tài sản kỹ thuật số trong hệ sinh thái tiền điện tử.