$3.047M USDC выведены в результате атаки на контракт Fake Request Finance на Safe

Недавняя фишинговая атака привела к потере 3.047 миллиона USDC. Эксплуатация нацелилась на мультиподпись кошелька Safe. При этом использовался поддельный контракт Request Finance. Расследователи утверждают, что злоумышленники тщательно спланировали схему. Они реализовали её так, что это выглядело почти авторизованным. Жертва использовала мультиподпись кошелька Safe 2 из 4. Согласно Scam Sniffer, транзакция, казалось, обрабатывалась через интерфейс приложения Request Finance. Но в скрытом внутри пакетном запросе было одобрение злонамеренного контракта.

Фальшивый адрес контракта был почти идентичен легитимному. С лишь незначительными различиями в средних символах. Оба начинались и заканчивались одним и тем же символом. Что делает это трудным для заметки с первого взгляда. Чтобы увеличить доверие, злоумышленники даже проверили злонамеренный контракт на Etherscan. Этот дополнительный шаг сделал его выглядящим аутентичным для любого, кто просматривал его случайно. Как только одобрение было предоставлено. Злоумышленники немедленно вывели $3.047 миллиона USDC. Украденные средства затем были обменены на ETH. Затем они быстро переместились в Tornado Cash, что сделало их трудными для отслеживания.

Тщательно спланированный график

Хронология атаки показывает явную подготовку. Тринадцать дней до кражи злоумышленники развернули поддельный контракт Request Finance. В то время как они проводили несколько транзакций "batchPayments", чтобы сделать контракт активным и надежным. К моменту взаимодействия жертвы с ним контракт казался имеющим нормальную историю использования. Когда жертва использовала приложение Request Finance, злоумышленники вставили скрытое одобрение в пакетную транзакцию. Как только транзакция была подписана, эксплуатация была завершена.

Ответ на запрос о финансировании

Компания Request Finance признала инцидент и выпустила заявление с предупреждением для пользователей. Компания подтвердила, что злонамеренный актёр развернул аналогичный контракт Batch Payment. Согласно заявлению, пострадал только один клиент. Уязвимость с тех пор была исправлена. Однако точный метод, использованный для внедрения злонамеренного одобрения, остаётся неясным. Аналитики считают, что возможные векторы атаки могут включать уязвимость в самом приложении. Также, вредоносное ПО или расширения браузера, модифицирующие транзакции, или даже скомпрометированный фронтенд или захват DNS. Другие формы инъекции кода также нельзя исключать.

Поднятые вопросы безопасности

Дело показывает растущую тенденцию мошенничества в криптоиндустрии. Злоумышленники больше не полагаются на простые фишинговые ссылки или очевидные трюки. Вместо этого они используют проверенные контракты, имитируя реальные услуги, и скрывают вредоносные действия внутри сложных транзакций. Пакетные транзакции, которые предназначены для упрощения платежей, также могут создавать возможности для нападающих. Поскольку они группируют несколько действий, пользователям становится труднее проверить каждое одобрение или перевод. Эта неясность позволяет злоумышленникам проникать в мошеннические операции, не будучи замеченными, пока не станет слишком поздно.

Уроки для сообщества

Эксперты подчеркивают необходимость крайней осторожности при использовании мульти-отправки. Или даже при использовании функций пакетных платежей. Каждое одобрение контракта должно быть проверено буква за буквой, чтобы избежать путаницы с похожими адресами. Даже одна пропущенная деталь может привести к большим потерям, как это было в данном случае. Службы безопасности также рекомендуют пользователям минимизировать использование расширений браузера. Они также могут проверить неподтвержденные приложения, связанные с кошельками.

Обновление программного обеспечения, использование аппаратных кошельков для подтверждений и проверка адресов контрактов через доверенные источники. Это может снизить риск таких уязвимостей. Инцидент является напоминанием о необходимости усиления защиты пользователей для платформ. Улучшенные предупреждения, автоматическое выявление похожих контрактов и улучшенная видимость транзакций могут помочь предотвратить подобные атаки.

Дорогое напоминание

Убыток в $3.047 миллиона — еще одно напоминание о высоких ставках в децентрализованных финансах. Хотя Safe и Request Finance остаются популярными инструментами, злоумышленники все чаще используют их сложность. Для пользователей осторожность — единственная настоящая защита. В данном случае злоумышленники полагались на тонкость, подготовку и убедительную подделку. К сожалению, этого оказалось достаточно, чтобы обмануть даже мультиподписную систему и получить доступ. Инцидент показывает, что в криптовалюте каждое нажатие и каждое одобрение имеют значение.