$10M Викрадені ETH потрапили в Tornado Cash—Ось що ми знаємо про фішинг-інцидент у вересні

Зловмисник щойно перемістив 3,700 ETH ($10M+) до Tornado Cash, що відслідковується до відомої фішингової атаки вересня 2023 року, внаслідок якої постраждав криптокит на $24 мільйон. CertiK позначив акаунт 21 березня, пов'язуючи події з інцидентом, у якому жертва втратила 9,579 stETH через сервіс ліквідного стекингу Rocket Pool, плюс ще 4,851 rETH у двофазній атаці.

Як вони потрапили всередину: пастка схвалення токенів

Ось неприємна частина—зловмисник жодного разу не зламав жоден пароль. Жертва випадково авторизувала транзакцію “Збільшити дозволи”, фактично передавши хакеру чистий чек для викачування токенів ERC-20 на свій розсуд. Аналіз Scam Sniffer показує, що це справжній вбивця: зловмисні смарт-контракти, замасковані під легітимні, чекають, коли користувачі нададуть їм дозвіл.

Грошова слід

PeckShield відстежив конверсію: 13,785 ETH + 1.64M DAI. Частина DAI була скинута на FixedFloor, решта розкидана по кількох акаунтах. Класичний сценарій відмивання грошей — змішай, розділи, зникни.

Це трапляється кожного тижня тепер

Лютий сам по собі став свідком $47M втрат від фішингу (78% на Ethereum). Використання експлойтів для затвердження токенів стає новим стандартним вектором атаки. Пам'ятаєте Доломіт? Старий контракт був озброєний 20 березня, викачуючи $1.8M від користувачів, які забули про старі затвердження, які вони надали.

Що насправді працює: Швидкість та прозорість

Layerswap постраждав від $100K , але швидко зупинив витік. Їхній постачальник домену знищив шкідливий DNS до того, як завдано великої шкоди. Вони повертають гроші жертвам + додаткову компенсацію — показуючи індустрії, як реагувати на інциденти повинно виглядати.

Перевірка реальності

Фішинг не зникне. Схвалення токенів — це нова поверхня атаки. Виправлення? Не поводьтеся з схваленнями контрактів так, ніби вони безкоштовні. Відкличте старі. Перевіряйте кожну транзакцію. І чесно кажучи, якщо угода вимагає від вас схвалити необмежені витрати, йдіть геть.