據報道,在一次大規模安全漏洞中,由於複雜的網路釣魚攻擊,加密鯨魚損失了 5547 萬美元的 DAI。區塊鏈分析公司 Lookonchain 和網路安全公司 Certik 詳細介紹了該事件,涉及未經授權將包含大量 DAI 資產的 Maker 金庫的所有權轉讓給惡意實體。
這就是大型加密貨幣駭客事件是如何發生的
這一系列事件始於毫無戒心的受害者簽署了一筆交易,該交易表面上看起來無害,但實際上是一個導致其資產受損的安排。此關鍵事務於 2024 年 8 月 20 日 17:40:47 UTC 發現,重定向了 DSProxy 屬性 #。 166,776 寄至惡名昭彰的網路釣魚位址「0x0000db5c8B030ae20308ac975898E09741e70000」。
所有權變更後,攻擊者使用另一個地址「0x5D4b2a02c59197eb2cae95a6df9fe27af60459d4」從受感染的金庫非法鑄造並提取 55,473,618 個 DAI 代幣。根據 Etherscan 的區塊鏈記錄揭示了攻擊者的後續行動,攻擊者將大約一半被盜的 DAI 轉換為 10,625 個以太坊 (ETH)。
CertiK 是一家領先的以安全為中心的排名平台,用於分析和監控區塊鏈協議和 DeFi 項目,該平台發現網路釣魚技術屬於一個名為 Inferno Drainer 的更大類別的一部分。 Inferno Drainer 是一種特別致命的智慧合約漏洞類型,它操縱交易權限,將資源重新導向到攻擊者控制的位址。
該漏洞通常嵌入在看似良性或模仿合法合約互動的惡意智能合約中,從而誘騙用戶執行交易,從而授予攻擊者存取或控制其數位資產的權限。
Certik 強調了此漏洞的嚴重性質,表明攻擊者透過欺騙手段(包括但不限於偽裝的惡意連結或受損介面)獲得對受害者的外部擁有帳戶 (EOA) 的控制權,從而促成了盜竊行為。
事件發生後,Lookonchain 一直在公開談論如何保護加密資產。他們透過X警告說:“簽署交易時,在點擊‘確認’之前一定要仔細檢查,不要簽署未知交易!”
最近的這一事件讓加密安全領域本已動蕩的一年雪上加霜。據 CertiK 稱,儘管已向受害者返還了約 780 萬美元,但由於各種漏洞、駭客攻擊和詐騙,僅 7 月的總損失就達約 2.709 億美元。這一數字是 2024 年第二高的月度虧損。
CertiK 分析損失後發現,退出詐騙損失約佔總損失 300 萬美元。 閃電貸通常用於複雜的套利策略,但也可被用來暫時操縱市場價格,其金額達到驚人的 2.658 億美元。其他漏洞利用總額約 980 萬美元。
截至撰寫本文時,加密貨幣總市值為 2.053 兆美元。