Khai thác lừa đảo "tinh vi" mới rút cạn 3 triệu đô la USDC từ ví multi-sig

Một nhà đầu tư crypto chưa xác định danh tính đã mất hơn 3 triệu đô la trong một cuộc tấn công phishing được phối hợp tinh vi sau khi vô tình cho phép một hợp đồng độc hại.

Vào ngày 11 tháng 9, nhà điều tra blockchain ZachXBT là người đầu tiên phát hiện vụ việc, tiết lộ rằng ví của nạn nhân đã bị rút sạch 3.047 triệu USDC.

Kẻ tấn công đã nhanh chóng hoán đổi stablecoin sang Ethereum và chuyển số tiền thu được vào Tornado Cash, một giao thức bảo mật thường được sử dụng để che giấu dòng tiền bị đánh cắp.

Cách thức khai thác diễn ra

Người sáng lập SlowMist, Yu Xian, giải thích rằng địa chỉ bị xâm phạm là một ví đa chữ ký Safe 2-of-4.

Ông giải thích rằng vi phạm bắt nguồn từ hai giao dịch liên tiếp trong đó nạn nhân đã phê duyệt chuyển tiền đến một địa chỉ giả mạo giống với người nhận dự định của họ.

Kẻ tấn công đã tạo ra hợp đồng gian lận sao cho ký tự đầu và cuối của nó giống với hợp đồng hợp pháp, khiến việc phát hiện trở nên khó khăn.

Xian bổ sung rằng cuộc tấn công đã lợi dụng cơ chế Safe Multi Send, ngụy trang sự phê duyệt bất thường trong một hành động có vẻ như là ủy quyền thông thường.

Ông viết:

“Sự phê duyệt bất thường này rất khó phát hiện vì nó không phải là một approve tiêu chuẩn.”

Theo Scam Sniffer, kẻ tấn công đã chuẩn bị kỹ lưỡng từ trước. Họ đã triển khai một hợp đồng giả nhưng đã được xác minh trên Etherscan gần hai tuần trước đó, lập trình nó với nhiều chức năng “batch payment” để trông hợp pháp.

Vào ngày xảy ra vụ tấn công, sự phê duyệt độc hại đã được thực hiện thông qua giao diện ứng dụng Request Finance, cho phép kẻ tấn công truy cập vào quỹ của nạn nhân.

Đáp lại, Request Finance thừa nhận rằng một tác nhân độc hại đã triển khai phiên bản giả mạo của hợp đồng Batch Payment của họ. Công ty lưu ý rằng chỉ có một khách hàng bị ảnh hưởng và nhấn mạnh rằng lỗ hổng này đã được vá lại.

Tuy nhiên, Scam Sniffer đã nhấn mạnh những lo ngại rộng hơn về vụ phishing này.

Công ty bảo mật blockchain cảnh báo rằng các cuộc tấn công tương tự có thể xuất phát từ nhiều hướng khác nhau, bao gồm lỗ hổng ứng dụng, phần mềm độc hại hoặc tiện ích mở rộng trình duyệt sửa đổi giao dịch, giao diện người dùng bị xâm phạm hoặc tấn công DNS hijacking.

Quan trọng hơn, việc sử dụng các hợp đồng đã được xác minh và địa chỉ gần như giống hệt nhau cho thấy các kẻ tấn công đang tinh chỉnh phương pháp để vượt qua sự kiểm tra của người dùng.

Bài viết New ‘sophisticated’ phishing exploit drains $3M in USDC from multi-sig wallet xuất hiện đầu tiên trên CryptoSlate.