Nowy „zaawansowany” atak phishingowy opróżnia 3 mln USDC z portfela multi-sig

Niezidentyfikowany inwestor kryptowalutowy stracił ponad 3 miliony dolarów w wyniku wysoko skoordynowanego ataku phishingowego, po tym jak nieświadomie autoryzował złośliwy kontrakt.

11 września badacz blockchain ZachXBT jako pierwszy zwrócił uwagę na ten incydent, ujawniając, że portfel ofiary został opróżniony z 3,047 miliona USDC.

Atakujący szybko zamienił stablecoiny na Ethereum i przekierował środki do Tornado Cash, protokołu prywatności często używanego do zaciemniania przepływu skradzionych funduszy.

Jak doszło do exploitu

Założyciel SlowMist, Yu Xian, wyjaśnił, że skompromitowany adres był portfelem multi-signature Safe 2-z-4.

Wyjaśnił, że naruszenie miało źródło w dwóch kolejnych transakcjach, w których ofiara zatwierdziła transfery na adres naśladujący zamierzonego odbiorcę.

Atakujący stworzył fałszywy kontrakt w taki sposób, że jego pierwszy i ostatni znak odpowiadał legalnemu kontraktowi, co utrudniało wykrycie oszustwa.

Xian dodał, że exploit wykorzystał mechanizm Safe Multi Send, ukrywając nietypową autoryzację w tym, co wyglądało na rutynowe zatwierdzenie.

Napisał:

„Ta nietypowa autoryzacja była trudna do wykrycia, ponieważ nie była standardowym zatwierdzeniem (approve).”

Zgodnie z informacjami Scam Sniffer, atakujący przygotował się do ataku z dużym wyprzedzeniem. Prawie dwa tygodnie wcześniej wdrożył fałszywy, ale zweryfikowany przez Etherscan kontrakt, programując go w wiele funkcji „batch payment”, aby wyglądał na legalny.

W dniu exploitu złośliwa autoryzacja została wykonana przez interfejs aplikacji Request Finance, dając atakującemu dostęp do środków ofiary.

W odpowiedzi Request Finance przyznało, że złośliwy podmiot wdrożył podrobioną wersję ich kontraktu Batch Payment. Firma zaznaczyła, że dotknięty został tylko jeden klient i podkreśliła, że luka została już załatana.

Mimo to Scam Sniffer zwrócił uwagę na szersze obawy związane z incydentem phishingowym.

Firma zajmująca się bezpieczeństwem blockchain ostrzegła, że podobne exploity mogą wynikać z różnych wektorów, w tym luk w aplikacjach, złośliwego oprogramowania lub rozszerzeń przeglądarki modyfikujących transakcje, skompromitowanych front-endów lub przejęcia DNS.

Co ważniejsze, wykorzystanie zweryfikowanych kontraktów i niemal identycznych adresów pokazuje, jak atakujący udoskonalają swoje metody, aby obejść czujność użytkowników.

Artykuł New ‘sophisticated’ phishing exploit drains $3M in USDC from multi-sig wallet pojawił się najpierw na CryptoSlate.