$10 千姨太从网络钓鱼攻击中转移到Tornado Cash

在加密货币领域发生了一起重大安全事件，通过网络钓鱼攻击获得的资金已被追踪到一个隐私保护的混合服务。

攻击详情

在2023年3月21日，区块链安全公司CertiK发现，一个参与2023年9月网络钓鱼攻击的账户转移了3,700 ETH(，价值约为$10 百万)，至Tornado Cash，一个模糊交易来源的加密货币混合服务。

这些资金最初是在2023年9月6日被盗的，当时一位持有大量加密货币的投资者（被称为**"鲸鱼"）(成为了一次复杂钓鱼操作的受害者。这次攻击的总损失达到了)千**的质押以太坊代币。

技术分析

攻击分为两个不同的阶段：

• 第一阶段：9,579 stETH $24 质押的以太坊(被移除
• 第二阶段：4,851 rETH )Rocket Pool ETH( 被盗

根据诈骗嗅探器项目，一个欺诈检测倡议，受害者已授权了一个“增加许可”的交易。这个关键错误使攻击者能够批准代币转移以谋取自身利益。这一功能内置于智能合约中，允许第三方在获得适当授权的情况下支配他人的ERC-20代币。

安全公司PeckShield记录显示，攻击者将被盗资产转换为13,785 ETH和1.64百万Dai。其中一部分资金随后被转移到FixedFload交易所，而其余资产则分配到多个钱包地址。

行业影响

钓鱼攻击继续对加密货币持有者构成重大威胁。Scam Sniffer项目报告称，仅在二月份，就有近 )千 因钓鱼相关的欺诈而损失。他们的分析显示：

• 78% 的这些盗窃发生在以太坊网络上
• 86% 的被盗资金是ERC-20代币

与代币授权相关的安全问题在整个加密货币社区引发了严重的担忧。在3月20日的另一起事件中，Dolomite交易所之前使用的过时合约被利用，导致**$1.8 million**从已授予该合约权限的用户账户中被抽走。

最近的安全事件

并非所有的安全漏洞都会导致不可逆转的损失。在3月20日，Layerswap团队成功地限制了损失，因为他们的网站遭到入侵，这得益于他们域名提供商的快速响应。尽管采取了这些措施，攻击者仍然设法从大约50名用户那里窃取了大约**$100,000**。Layerswap承诺将对受影响的用户进行退款，并提供额外的赔偿。

这些事件突显了加密货币用户面临的持续安全挑战，特别是在代币批准和智能合约交互方面。随着网络钓鱼技术变得愈加复杂，提高安全意识和验证程序变得越来越重要，以保护加密货币生态系统中的数字资产。