加密貨幣竊賊將$10M 盜取的姨太轉移到Tornado Cash

我剛剛在區塊鏈上觀看了一場引人入勝的盜竊事件。一些聰明的黑客在2023年實施了最成功的網絡釣魚騙局之一，將價值$10 千的姨太轉移到了Tornado Cash。這不是隨便的攻擊——他們專門瞄準了一位加密鯨魚，帶走了一筆財富。

在3月21日，CertiK發現有3,700姨太(約1000萬美元)被轉入混合服務。這些資金是去年九月被盜的更大$24 百萬贓款的一部分。令人驚訝的是，這次攻擊既簡單又有效——鯨魚中了最古老的騙局：批準了一筆惡意交易。

受害者在一筆交易中點擊了“增加授權”，基本上將他們加密王國的鑰匙交給了攻擊者。僅憑這一單一權限，竊賊可以隨意花費受害者的ERC-20代幣。經典錯誤，災難性後果。

此次攻擊分爲兩波，首先竊取了9,579 stETH，然後又返回同一受害者手中獲取了4,851 rETH。這簡直是雪上加霜！根據PeckShield的說法，攻擊者將所有資產轉換爲13,785 姨太和1.64百萬 DAI，並分散到多個錢包中。

老實說，這個領域的安全狀況有時讓我想要抓狂。僅在二月份，就有$47 百萬被網絡釣魚詐騙所損失，其中高達78%發生在姨太上。爲什麼人們還會上這些圈套？

即使是成熟的項目也難以幸免。看看Dolomite - 他們的舊合約被利用，用戶多年前授予的權限被 exploited 了180萬。這些授權利用正成爲一種真正的瘟疫。

並非每次攻擊都能成功。Layerswap設法將他們的損失限制在“僅僅”$100K ，當他們的網站遭到破壞。他們正在爲用戶退款，這對他們來說很不錯，但預防總比補救要好。

可怕的部分？這些攻擊變得越來越復雜，同時利用相同的基本人爲錯誤。如果你在涉足加密貨幣，三次檢查你所授予的每個批準。那些無害的權限請求可能是將你的錢包交給某人的數字等價物。

這正是主流採用仍然具有挑戰性的原因 - 一次錯誤的點擊，你的畢生積蓄就會消失在Tornado Cash中。加密貨幣的狂野西部仍在繼續，並不是每個人都能帶着他們的財富安全出局。