Нова «витончена» фішинг-атака вкрала $3 млн у USDC з мультипідписного гаманця

Невідомий інвестор у криптовалюту втратив понад $3 мільйони в результаті висококоординованої фішингової атаки після того, як несвідомо авторизував шкідливий контракт.

11 вересня блокчейн-дослідник ZachXBT вперше повідомив про цей інцидент, розкривши, що з гаманця жертви було виведено $3.047 мільйона в USDC.

Зловмисник швидко обміняв стейблкоїни на Ethereum і перевів отримані кошти в Tornado Cash — протокол конфіденційності, який часто використовується для приховування руху викрадених коштів.

Як відбулася експлуатація

Засновник SlowMist Ю Сян пояснив, що скомпрометована адреса була мультипідписним гаманцем Safe з 2 із 4 підписів.

Він пояснив, що порушення сталося через дві послідовні транзакції, в яких жертва схвалила перекази на адресу, що імітувала адресу справжнього отримувача.

Зловмисник створив шахрайський контракт так, щоб його перший і останній символи збігалися з легітимним, що ускладнювало виявлення підробки.

Сян додав, що експлойт скористався механізмом Safe Multi Send, замаскувавши аномальне схвалення під звичайну авторизацію.

Він написав:

“Цю аномальну авторизацію було важко виявити, оскільки це не було стандартним approve.”

За даними Scam Sniffer, зловмисник заздалегідь підготував ґрунт для атаки. Майже за два тижні до інциденту він розгорнув фальшивий, але перевірений Etherscan контракт, запрограмувавши його з кількома функціями “batch payment”, щоб він виглядав легітимно.

У день експлойту шкідливе схвалення було виконано через інтерфейс додатку Request Finance, що дало зловмиснику доступ до коштів жертви.

У відповідь Request Finance підтвердив, що зловмисник розгорнув підроблену версію їхнього контракту Batch Payment. Компанія зазначила, що постраждав лише один клієнт, і підкреслила, що вразливість вже усунена.

Втім, Scam Sniffer підкреслив ширші проблеми, пов’язані з цим фішинговим інцидентом.

Блокчейн-компанія з безпеки попередила, що подібні експлойти можуть виникати через різні вектори, включаючи вразливості додатків, шкідливе ПЗ або розширення браузера, які змінюють транзакції, скомпрометовані фронтенди чи викрадення DNS.

Ще важливіше, використання перевірених контрактів і майже ідентичних адрес ілюструє, як зловмисники вдосконалюють свої методи, щоб обійти увагу користувачів.

Публікація New ‘sophisticated’ phishing exploit drains $3M in USDC from multi-sig wallet вперше з’явилася на CryptoSlate.