一名身份不明的加密货币投资者在不知情的情况下授权了恶意合约,遭遇高度协同的网络钓鱼攻击,损失超过300万美元。
9月11日,区块链调查员ZachXBT率先披露该事件,指出受害者的钱包中被盗走304.7万枚USDC。
攻击者迅速将稳定币兑换为以太坊,并通过隐私协议Tornado Cash转移赃款——该协议常被用于混淆被盗资金流向。
攻击如何发生
慢雾创始人余弦解释称,被入侵的地址是一个4选2的Safe多签钱包。
他指出,漏洞源于连续两笔交易中受害者批准向模拟真实收款方的地址转账。
攻击者精心构造了欺诈合约,使其首尾字符与合法合约完全一致,极大增加了识别难度。
余弦补充说明,此次攻击利用了Safe Multi Send机制,将异常授权伪装成常规操作。
他表示:
“这种异常授权难以被察觉,因为它并非标准批准操作。”
据Scam Sniffer分析,攻击者提前两周就进行了周密准备。他们部署了经过Etherscan验证的虚假合约,并通过编写多个”批量付款”功能使其看起来合法。
攻击当日,恶意授权通过Request Finance应用界面执行,最终使攻击者获得了受害者资金的控制权。
Request Finance对此回应称,恶意行为者确实部署了其批量付款合约的仿冒版本,但仅有一名客户受影响,且漏洞已完成修补。
Scam Sniffer同时指出,该钓鱼事件暴露出更广泛的安全隐忧。
这家区块链安全公司警告,类似攻击可能源自多个渠道:应用漏洞、篡改交易的恶意软件或浏览器扩展、前端被入侵、DNS劫持等。
更重要的是,攻击者使用经过验证的合约和高度相似的地址,表明其正在不断升级手段以绕过用户审查。
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险
自担!转载请注明出处:https://www.chaintt.cn/40461.html
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/40461.html
