新型「高級」網路釣魚攻擊竊取多重簽名錢包300萬美元USDC

一名身份不明的加密貨幣投資者在一次高度協調的釣魚攻擊中損失超過300萬美元，原因是在不知情的情況下授權了一個惡意合約。

9月11日，區塊鏈調查員ZachXBT首次發現此事件，透露受害者的錢包被盜走了304.7萬美元的USDC。

攻擊者迅速將這些穩定幣兌換為Ethereum，並將所得資金轉入Tornado Cash，這是一個常被用來隱藏被盜資金流向的隱私協議。

漏洞是如何發生的

SlowMist創辦人Yu Xian解釋，被盜的地址是一個2-of-4 Safe多重簽名錢包。

他說，這次安全漏洞源於兩筆連續交易，受害者在這兩筆交易中批准了轉帳至一個偽裝成其預期收款人的地址。

攻擊者設計了這個欺詐合約，使其首尾字元與合法合約相同，從而難以被察覺。

Xian補充，這次攻擊利用了Safe Multi Send機制，將異常授權偽裝在看似例行的授權操作中。

他寫道：

「這種異常授權很難被發現，因為它不是標準的approve操作。」

根據Scam Sniffer的說法，攻擊者早已做好準備。他們在近兩週前部署了一個偽造但經Etherscan驗證的合約，並編寫了多個“批量支付”功能，使其看起來合法。

在漏洞發生當天，惡意授權通過Request Finance應用介面執行，使攻擊者能夠存取受害者的資金。

作為回應，Request Finance承認有惡意行為者部署了其Batch Payment合約的假冒版本。該公司指出，僅有一名客戶受影響，並強調該漏洞現已修補。

儘管如此，Scam Sniffer強調了這起釣魚事件帶來的更廣泛擔憂。

這家區塊鏈安全公司警告，類似的攻擊可能來自多種途徑，包括應用漏洞、惡意軟體或瀏覽器擴充功能修改交易、前端被入侵，或DNS劫持。

更重要的是，經過驗證的合約和幾乎相同的地址的使用，說明攻擊者正不斷完善其手法，以規避用戶的審查。

本文最早發佈於CryptoSlate。