$3.047M USDC було вкрадено внаслідок атаки на контракт Fake Request Finance на Safe

Недавня фішингова атака призвела до втрати 3,047 мільйонів USDC. Зловмисники націлилися на мультипідписний гаманець Safe, використовуючи підроблений контракт Request Finance. Слідчі стверджують, що нападники ретельно спланували цю схему. Вони виконали її таким чином, що це виглядало майже авторизовано. Жертва використала мультипідписний гаманець Safe типу 2 з 4. За даними Scam Sniffer, транзакція, здавалося, була оброблена через інтерфейс програми Request Finance. Але прихованою в пакетному запиті була затвердження шкідливого контракту.

Фальшива адреса контракту була майже ідентичною легітимній. Лише з незначними відмінностями у середніх символах. Обидва починалися і закінчувалися одним і тим же символом. Що ускладнює їх помічання на перший погляд. Щоб підвищити довіру, зловмисники навіть перевірили шкідливий контракт на Etherscan. Цей додатковий крок зробив його вигляд автентичним для тих, хто переглядав його неуважно. Як тільки було надано схвалення, зловмисники негайно вивели $3.047 мільйона USDC. Викрадені кошти потім були обміняні на ETH. Потім вони швидко перемістилися в Tornado Cash, ускладнюючи їх відстеження.

Уважно спланований графік

Хронологія атаки показує чітку підготовку. Тринадцять днів до крадіжки зловмисники розмістили підроблений контракт Request Finance. Поки вони виконували кілька транзакцій "batchPayments", щоб зробити контракт активним і надійним. До того часу, як жертва взаємодіяла з ним, контракт виглядав так, ніби має нормальну історію використання. Коли жертва використовувала додаток Request Finance, зловмисники вклали приховане схвалення в пакетну транзакцію. Після підписання транзакції експлойт був завершено.

Відповідь від Request Finance

Request Finance визнала інцидент і опублікувала заяву, в якій попередила користувачів. Компанія підтвердила, що зловмисник розгорнув схожу версію її контракту Batch Payment. Згідно з заявою, постраждав лише один клієнт. Уразливість з тих пір була виправлена. Але точний метод, використаний для впровадження злочинного дозволу, залишається незрозумілим. Аналітики вважають, що можливі вектори атаки можуть включати уразливість в самому додатку. Також шкідливе ПЗ або розширення браузера, що модифікують транзакції, або навіть скомпрометований фронтенд або захоплення DNS. Інші форми ін'єкції коду не можна виключити.

Підкреслені проблеми безпеки

Справа демонструє зростаючу тенденцію шахрайств у криптоіндустрії. Зловмисники більше не покладаються на прості фішингові посилання або очевидні трюки. Натомість вони використовують перевірені контракти, імітуючи реальні сервіси, і приховують шкідливі дії всередині складних транзакцій. Пакетні транзакції, які призначені для спрощення платежів, також можуть створювати можливості для зловмисників. Оскільки вони групують кілька дій, стає складніше для користувачів перевіряти кожне схвалення або переказ. Ця невизначеність дозволяє зловмисникам впроваджувати шахрайські операції. Без того, щоб бути поміченими, поки не буде занадто пізно.

Уроки для спільноти

Експерти підкреслюють необхідність крайньої обережності при використанні multi-send. Або навіть при використанні функцій пакетної оплати. Кожне схвалення контракту слід переглядати по символах, щоб уникнути плутанини з подібними адресами. Навіть одна пропущена деталь може призвести до значних втрат, як це було в цьому випадку. Безпекові фірми також рекомендують користувачам мінімізувати використання розширень браузера. Вони також можуть перевірити неперевірені програми, підключені до гаманців.

Оновлення програмного забезпечення, використання апаратних гаманців для підтверджень та перевірка адрес контрактів через надійні джерела. Це може зменшити ризик таких експлойтів. Інцидент є нагадуванням про необхідність посилення захисту користувачів для платформ. Покращені попередження, автоматичне позначення схожих контрактів та підвищена видимість транзакцій можуть допомогти запобігти подібним атакам.

Дороге нагадування

Збиток у розмірі $3.047 мільйона є ще одним нагадуванням про високі ризики в децентралізованих фінансах. Хоча Safe та Request Finance залишаються популярними інструментами. Атакуючі все більше експлуатують їхню складність. Для користувачів обережність є єдиним справжнім захистом. У цьому випадку атакуючі покладалися на тонкість, підготовку та переконливу підробку. На жаль, цього було достатньо, щоб обманути навіть мультипідпис. Інцидент показує, що в криптовалюті кожен клік і кожне затвердження мають значення.