Eksploit phishing 'canggih' baru menguras $3 juta USDC dari dompet multi-sig

Seorang investor crypto yang tidak dikenal telah kehilangan lebih dari $3 juta dalam serangan phishing yang sangat terkoordinasi setelah tanpa sadar mengotorisasi kontrak berbahaya.

Pada 11 September, peneliti blockchain ZachXBT pertama kali menandai insiden ini, mengungkapkan bahwa dompet korban telah dikuras sebesar $3,047 juta dalam USDC.

Penyerang dengan cepat menukar stablecoin tersebut menjadi Ethereum dan menyalurkan hasilnya ke Tornado Cash, sebuah protokol privasi yang sering digunakan untuk menyamarkan aliran dana curian.

Bagaimana eksploitasi terjadi

Pendiri SlowMist, Yu Xian, menjelaskan bahwa alamat yang dikompromikan adalah dompet multi-signature Safe 2-dari-4.

Ia menjelaskan bahwa pelanggaran tersebut berasal dari dua transaksi berturut-turut di mana korban menyetujui transfer ke alamat yang meniru penerima yang dimaksud.

Penyerang membuat kontrak palsu sehingga karakter pertama dan terakhirnya menyerupai kontrak yang sah, sehingga sulit untuk dideteksi.

Xian menambahkan bahwa eksploitasi ini memanfaatkan mekanisme Safe Multi Send, menyamarkan persetujuan abnormal di dalam apa yang tampak seperti otorisasi rutin.

Ia menulis:

“Otorisasi abnormal ini sulit dideteksi karena bukan persetujuan standar.”

Menurut Scam Sniffer, penyerang telah mempersiapkan segalanya jauh sebelumnya. Mereka menerapkan kontrak palsu namun terverifikasi di Etherscan hampir dua minggu sebelumnya, memprogramnya dengan beberapa fungsi “batch payment” agar terlihat sah.

Pada hari eksploitasi, persetujuan berbahaya dieksekusi melalui antarmuka aplikasi Request Finance, memberikan penyerang akses ke dana korban.

Menanggapi hal ini, Request Finance mengakui bahwa pelaku jahat telah menerapkan versi palsu dari kontrak Batch Payment mereka. Perusahaan mencatat bahwa hanya satu pelanggan yang terdampak dan menekankan bahwa kerentanan tersebut telah diperbaiki.

Namun, Scam Sniffer menyoroti kekhawatiran yang lebih luas terkait insiden phishing ini.

Perusahaan keamanan blockchain tersebut memperingatkan bahwa eksploitasi serupa dapat berasal dari berbagai vektor, termasuk kerentanan aplikasi, malware atau ekstensi browser yang memodifikasi transaksi, front-end yang dikompromikan, atau pembajakan DNS.

Yang lebih penting, penggunaan kontrak terverifikasi dan alamat yang hampir identik menggambarkan bagaimana penyerang semakin menyempurnakan metode mereka untuk melewati pengawasan pengguna.

Artikel New ‘sophisticated’ phishing exploit drains $3M in USDC from multi-sig wallet pertama kali muncul di CryptoSlate.