$10M 被盜的姨太襲擊了Tornado Cash——關於九月網絡釣魚漏洞的情況我們所知道的

一個黑客剛剛將3,700姨太 ($10M+)轉移到Tornado Cash，追蹤回2023年9月臭名昭著的網絡釣魚攻擊，該攻擊使一個加密鯨魚損失了$24 百萬。CertiK在3月21日標記了這個帳號，將其與一起事件聯繫起來，受害者在Rocket Pool的流動性質押服務中損失了9,579 stETH，以及在兩階段攻擊中損失的另外4,851 rETH。

他們是如何進入的：代幣授權陷阱

這部分真讓人惡心——攻擊者從未破解任何密碼。受害者不小心授權了一個“增加額度”的交易，基本上是在給黑客一張空白支票，可以隨意提取ERC-20代幣。Scam Sniffer的分析顯示，這才是真正的致命因素：僞裝成合法的惡意智能合約，等待用戶給予它們權限。

錢的蹤跡

PeckShield 追蹤了轉換：13,785 姨太 + 1.64M DAI。一部分 DAI 被拋售在 FixedFloor，剩下的分散在多個錢包中。經典的洗錢手法——混合、分割、消失。

這每週都在發生

僅在二月，就有$47M 因釣魚損失(78%在姨太上。代幣審批利用正在成爲新的標準攻擊方式。還記得Dolomite嗎？舊合約在3月20日被武器化，從忘記了他們曾給予舊審批的用戶那裏抽走了180萬美元。

實際有效的是什麼：速度與透明度

Layerswap遭受攻擊，損失爲)，但迅速止住了損失。他們的域名提供商在造成重大損害之前終止了惡意DNS。他們正在向受害者退款並提供額外補償——向行業展示了事件響應應該是什麼樣的。

現實檢查

網絡釣魚不會消失。代幣批準是新的攻擊面。解決辦法？不要把合約批準當作是免費的。撤銷舊的批準。驗證每一筆交易。老實說，如果一筆交易要求你批準無限支出，趕快離開。