یک سرمایه‌گذار ناشناس در حوزه کریپتو در یک حمله فیشینگ بسیار هماهنگ، بیش از ۳ میلیون دلار از دست داد؛ پس از آنکه بدون اطلاع، یک قرارداد مخرب را تأیید کرد.

در تاریخ ۱۱ سپتامبر، محقق بلاکچین ZachXBT این حادثه را فاش کرد و نشان داد که کیف پول قربانی حدود ۳.۰۴۷ میلیون دلار USDC خالی شده است.

مهاجم خیلی سریع استیبل‌کوین‌ها را به اتریوم تبدیل کرد و وجوه را از طریق پروتکل Tornado Cash (ابزاری برای مخفی کردن رد تراکنش‌ها) جابه‌جا کرد.

نحوه اجرای حمله

• به گفته یو شیان (بنیان‌گذار SlowMist)، آدرس قربانی یک کیف پول چندامضایی ۲ از ۴ Safe بوده است.

• حمله از دو تراکنش پیاپی آغاز شد؛ قربانی انتقال‌هایی را تأیید کرد که به آدرسی بسیار شبیه به مقصد واقعی بود.

• قرارداد جعلی طوری طراحی شده بود که حرف اول و آخر آدرس مشابه آدرس اصلی باشد تا تشخیص آن دشوار شود.

• این حمله از مکانیزم Safe Multi Send سوءاستفاده کرد و تأیید غیرعادی را در قالب یک تراکنش معمولی پنهان کرد.

شیان نوشت:

«این تأیید غیرعادی به‌سختی قابل تشخیص بود چون یک Approve استاندارد نبود.»

آماده‌سازی قبلی

طبق گزارش Scam Sniffer، مهاجم از قبل برنامه‌ریزی کرده بود:

• حدود دو هفته قبل، یک قرارداد جعلی اما تأییدشده در Etherscan مستقر کرد.

• این قرارداد شامل چندین تابع “پرداخت دسته‌ای” بود تا معتبر به نظر برسد.

• در روز حمله، این تأیید مخرب از طریق اپلیکیشن Request Finance اجرا شد و به مهاجم امکان دسترسی به وجوه قربانی را داد.

در واکنش، Request Finance تأیید کرد که مهاجم یک نسخه جعلی از قرارداد Batch Payment این پلتفرم را مستقر کرده است. این شرکت گفت فقط یک مشتری آسیب دیده و مشکل امنیتی برطرف شده است.

نگرانی‌های گسترده‌تر

شرکت Scam Sniffer هشدار داد که چنین حملاتی می‌توانند از مسیرهای مختلف دیگری نیز رخ دهند، از جمله:

• آسیب‌پذیری اپلیکیشن‌ها

• بدافزار یا افزونه‌های مرورگر که تراکنش‌ها را تغییر می‌دهند

• فرانت‌اندهای آلوده یا هک DNS

نکته مهم این است که مهاجمان اکنون از قراردادهای تأییدشده و آدرس‌های تقریباً مشابه استفاده می‌کنند تا از دقت کاربران عبور کنند.