W 2023 r. z kryptowalutowego „wieloryba” usunięto aktywa finansowe w wyniku ataku phishingowego, podczas którego ofiara autoryzowała transakcje umożliwiające atakującemu dostęp do jej zasobów finansowych.
Wspólne konto objęte incydentem phishingowym we wrześniu 2023 r. przekazało Ether o wartości 10 milionów dolarów do usługi mieszania kryptowalut Tornado Cash.
21 marca firma CertiK zajmująca się bezpieczeństwem blockchain zidentyfikowała konto objęte włamaniem na kwotę 24 milionów dolarów, w ramach którego przesłano 3700 ETH do Tornado Cash. Fundusze te zostały pobrane z kryptowaluty wieloryba podczas incydentu phishingowego, który miał miejsce 6 września 2023 r.
W tym czasie inwestor stracił 24 miliony dolarów w postawionym ETH za pośrednictwem usługi stakowania płynności Rocket Pool. Atak przebiegał w dwóch fazach: pierwsza usunęła kryptowalowi 9579 stETH, a druga 4851 rETH.
W projekcie Scam Sniffer poświęconym wykrywaniu oszustw stwierdzono, że ofiara autoryzowała transakcję „Zwiększenie limitu”, umożliwiającą hakerowi zatwierdzenie tokenów na własny użytek. Dzięki inteligentnym kontraktom funkcjonalność ta umożliwia podmiotom trzecim wydawanie tokenów ERC-20 będących własnością innych osób za ich zgodą.
Temat zatwierdzania tokenów wywołał wiele dyskusji w społeczności kryptograficznej, z pewnymi ostrzeżeniami przed ryzykiem związanym z potencjalnym wdrażaniem złośliwych inteligentnych kontraktów do oszukańczych celów.
Firma zajmująca się bezpieczeństwem Blockchain, PeckShield, odnotowała, że atakujący zamienił aktywa na 13 785 ETH i 1,64 miliona Dai. Część tych DAI została przeniesiona na giełdę FixFload, natomiast reszta skradzionych środków została przeniesiona do innych portfeli.
Ataki phishingowe pozostają poważnym problemem dla sektora kryptograficznego. Z raportu projektu Scam Sniffer wynika, że w lutym w wyniku oszustw związanych z phishingiem utracono prawie 47 milionów dolarów.
W raporcie podkreślono, że 78% tych kradzieży miało miejsce w sieci Ethereum, przy czym tokeny ERC-20 stanowią 86% wszystkich skradzionych środków.
Niedawne straty spowodowane zatwierdzeniem tokenów również wzbudziły obawy wśród użytkowników kryptowalut. 20 marca stary kontrakt, z którego korzystała wcześniej giełda Dolomite, został wykorzystany do pobrania od użytkowników 1,8 miliona dolarów.
Wykorzystywanie dotyczyło użytkowników, którzy wyrazili zgodę na zawarcie umowy. W rezultacie deweloperzy Dolomite namawiali użytkowników do cofnięcia wszelkich zgód udzielonych na stary adres kontraktowy.
Chociaż niektóre próby oszukania kryptowalut skutkują wielomilionowymi stratami, zdarzają się przypadki, w których oszukańcze wysiłki są szybko wykrywane i udaremniane. Na przykład 20 marca zespołowi Layerswap udało się zapobiec dalszym szkodom po tym, jak ich witryna internetowa została naruszona w wyniku ataku, dzięki szybkiej reakcji dostawcy domeny.
Jednak hakerom nadal udało się wyłudzić aktywa o wartości 100 000 dolarów od około 50 użytkowników. Layerswap ogłosił, że zwróci utracone środki dotkniętym użytkownikom i zaoferuje dodatkową rekompensatę za spowodowane niedogodności.
Incydenty te podkreślają utrzymujące się ryzyko ataków phishingowych i potrzebę ciągłej czujności w świecie kryptowalut. Nadużywanie funkcji zatwierdzania tokenów i inteligentnych kontraktów podkreśla potrzebę dalszej edukacji i ostrożności wśród użytkowników kryptowalut, aby zapobiec niepotrzebnym stratom.
W obliczu rosnącej liczby wyrafinowanych ataków ważne jest, aby użytkownicy kryptowalut zachowywali czujność i dokładnie sprawdzali wszystkie transakcje i zatwierdzenia umów. Społeczność i firmy zajmujące się bezpieczeństwem muszą współpracować, aby opracować lepsze narzędzia i procedury chroniące przed atakami phishingowymi i innymi nieuczciwymi działaniami, zapewniając bezpieczniejsze środowisko dla wszystkich użytkowników kryptowalut.
Ogłoszenie:
,,Informacje i poglądy przedstawione w tym artykule służą wyłącznie celom edukacyjnym i w żadnej sytuacji nie powinny być traktowane jako porada inwestycyjna. Treści tych stron nie należy uważać za poradę finansową, inwestycyjną ani jakąkolwiek inną formę porady. Przestrzegamy, że inwestowanie w kryptowaluty może być ryzykowne i może prowadzić do strat finansowych.”
