$24M Фішингова крадіжка: Як затвердження токенів стали золотим квитком для хакерів

Пам'ятаєте про величезного китa Ethereum, який втратив $24 мільйон у вересні 2023 року? Неочікуваний поворот — їх вкрадені кошти нещодавно з'явилися на блокчейні, а підручник хакера розкриває щось набагато небезпечніше, ніж просто витік пароля.

Ось що сталося:

Жертва стала жертвою фішингу та затвердила шкідливий контракт, вважаючи його легітимним. Один клік? Гра закінчена. Атакуючий вичерпав 9,579 stETH та 4,851 rETH з Rocket Pool у двох окремих транзакціях. 21 березня команда CertiK помітила, як хакер перемістив 3,700 ETH (~$10M) прямо в Tornado Cash, щоб замести сліди. Загальна сума атакуючого була конвертована в 13,785 ETH та 1.64M DAI — класичний сценарій відмивання грошей в мережі.

Справжня проблема: Токен-статус є новим вектором атаки

Атаки фішингу більше не є просто фішингом. Згідно з Scam Sniffer, функція “Збільшити ліміт” є винуватцем — вона дозволяє хакерам безкінечно витягувати ваші токени після того, як ви дали дозвіл. Лише минулого місяця майже $47 мільйон зник з фішингових схем, причому 78% відбулося на Ethereum та 86% були пов'язані з токенами ERC-20.

Тоді є проблема з Dolomite. 20 березня застарілий контракт був використаний для крадіжки 1,8 млн доларів у користувачів, які вже його затвердили. У той же тиждень Layerswap був зламаний — хакери вкрали $100K у 50 користувачів, перш ніж постачальник домену швидко закрив його. Layerswap проводить повернення + компенсацію, але шкода була реальною.

Що це означає для вас

Схвалення токенів подібні до підписання порожнього чека для незнайомця. Один шкідливий контракт. Один недбалий клік. І раптом ваше все портфоліо може зникнути. Урок? Відкликайте старі схвалення. Подвійно перевіряйте адреси контрактів. Ніколи не схвалюйте необмежені токени.

Крипто-спільнота починає усвідомлювати цю загрозу, але освіта та кращі засоби безпеки не можуть з'явитися занадто швидко.