$10M 被盗的姨太袭击了Tornado Cash——关于九月网络钓鱼漏洞的情况我们所知道的

一个黑客刚刚将3,700姨太 ($10M+)转移到Tornado Cash，追踪回2023年9月臭名昭著的网络钓鱼攻击，该攻击使一个加密鲸鱼损失了$24 百万。CertiK在3月21日标记了这个账号，将其与一起事件联系起来，受害者在Rocket Pool的流动性质押服务中损失了9,579 stETH，以及在两阶段攻击中损失的另外4,851 rETH。

他们是如何进入的：代币授权陷阱

这部分真让人恶心——攻击者从未破解任何密码。受害者不小心授权了一个“增加额度”的交易，基本上是在给黑客一张空白支票，可以随意提取ERC-20代币。Scam Sniffer的分析显示，这才是真正的致命因素：伪装成合法的恶意智能合约，等待用户给予它们权限。

钱的踪迹

PeckShield 追踪了转换：13,785 姨太 + 1.64M DAI。一部分 DAI 被抛售在 FixedFloor，剩下的分散在多个钱包中。经典的洗钱手法——混合、分割、消失。

这每周都在发生

仅在二月，就有$47M 因钓鱼损失(78%在姨太上。代币审批利用正在成为新的标准攻击方式。还记得Dolomite吗？旧合约在3月20日被武器化，从忘记了他们曾给予旧审批的用户那里抽走了180万美元。

实际有效的是什么：速度与透明度

Layerswap遭受攻击，损失为)，但迅速止住了损失。他们的域名提供商在造成重大损害之前终止了恶意DNS。他们正在向受害者退款并提供额外补偿——向行业展示了事件响应应该是什么样的。

现实检查

网络钓鱼不会消失。代币批准是新的攻击面。解决办法？不要把合约批准当作是免费的。撤销旧的批准。验证每一笔交易。老实说，如果一笔交易要求你批准无限支出，赶快离开。