一位身份不明的加密投资者在不知不觉中授权签订恶意合同后,在高度协调的网络钓鱼攻击中损失了超过300万美元。
9月11日,区块链调查员 zachxbt 首先标记了这一事件,表明受害人的钱包被排出了3047万美元 USDC。
攻击者迅速将stablecoins换成 以太坊 并将收益汇入 龙卷风现金, 隐私协议通常用来掩盖被盗资金的流动。
利用如何发生
Slowmist创始人Yu Xian 解释了 被妥协的地址是4个安全的多签名钱包。
他解释说,违规行为起源于两项连续交易,在该交易中,受害人批准将其转移到模仿其预期接收者的地址。
攻击者制定了欺诈合同,以使其第一个也是最后一个角色反映了合法的合同,因此很难发现。
西安补充说,利用利用了安全的多发送机制,掩盖了似乎是常规授权的异常批准。
他写道:
华尔街不想让你看到这个…
获得5天的高级策略,专业人士用来赢得加密货币。有限的座位可用 – 立即要求您。
通过隐板带给您
“由于不是标准的批准,因此很难检测到这种异常授权。”
根据Scam Sniffer,攻击者事先准备好了地面。他们 部署 将近两周前的伪造但经埃塞斯扫描验证的合同,通过多个“批次支付”功能编程,以使其看起来合法。
在剥削当天,恶意批准是通过请求金融应用程序接口执行的,使攻击者可以访问受害者的资金。
作为回应,请求财务承认,恶意演员部署了其批处理付款合同的伪造版本。该公司指出,只有一个客户受到影响,并强调漏洞已被修补。
尽管如此,骗局嗅探器还是强调了对 网络钓鱼 事件。
这家区块链安全公司警告说,类似的漏洞可能源于多个向量,包括应用程序漏洞,恶意软件或浏览器扩展名修改交易,前端折衷或DNS劫持。
更重要的是,使用经过验证的合同和几乎相同的地址说明了攻击者如何完善其绕过用户审查的方法。
在重大供应危机的边缘:这对投资者意味着什么-350x250.jpg)
到Binance-Hodler-Airdrops-120x86.jpg)
