Bagong 'sopistikadong' phishing exploit, nag-withdraw ng $3M na USDC mula sa multi-sig wallet

Isang hindi kilalang crypto investor ang nawalan ng higit sa $3 milyon sa isang mataas na koordinadong phishing attack matapos hindi sinasadyang magbigay ng pahintulot sa isang malisyosong kontrata.

Noong Setyembre 11, unang itinampok ng blockchain investigator na si ZachXBT ang insidente, na ibinunyag na ang wallet ng biktima ay nabawasan ng $3.047 milyon sa USDC.

Agad na ipinagpalit ng attacker ang mga stablecoin sa Ethereum at inilaan ang mga nalikom sa Tornado Cash, isang privacy protocol na madalas gamitin upang itago ang daloy ng mga nakaw na pondo.

Paano nangyari ang exploit

Ipinaliwanag ng tagapagtatag ng SlowMist na si Yu Xian na ang na-kompromisong address ay isang 2-of-4 Safe multi-signature wallet.

Ipinahayag niya na ang paglabag ay nagmula sa dalawang magkasunod na transaksyon kung saan inaprubahan ng biktima ang mga paglilipat sa isang address na ginaya ang kanilang inaasahang tatanggap.

Ginawa ng attacker ang mapanlinlang na kontrata upang ang una at huling karakter nito ay kapareho ng lehitimong kontrata, na nagpapahirap itong matukoy.

Dagdag pa ni Xian na sinamantala ng exploit ang Safe Multi Send mechanism, itinago ang abnormal na pag-apruba sa loob ng tila karaniwang awtorisasyon.

Sinabi niya:

“Ang abnormal na awtorisasyong ito ay mahirap matukoy dahil hindi ito isang karaniwang approve.”

Ayon sa Scam Sniffer, maagang inihanda ng attacker ang lahat. Nag-deploy sila ng pekeng ngunit Etherscan-verified na kontrata halos dalawang linggo bago ang insidente, na nilagyan ng maraming “batch payment” na mga function upang magmukhang lehitimo.

Sa araw ng exploit, naisagawa ang malisyosong pag-apruba sa pamamagitan ng Request Finance app interface, na nagbigay-daan sa attacker na makuha ang pondo ng biktima.

Bilang tugon, kinilala ng Request Finance na may malisyosong aktor na nag-deploy ng pekeng bersyon ng kanilang Batch Payment contract. Binanggit ng kumpanya na isang customer lamang ang naapektuhan at binigyang-diin na naayos na ang kahinaan.

Gayunpaman, binigyang-diin ng Scam Sniffer ang mas malawak na mga alalahanin tungkol sa phishing incident.

Binalaan ng blockchain security firm na ang mga katulad na exploit ay maaaring magmula sa iba’t ibang paraan, kabilang ang mga kahinaan sa app, malware o browser extensions na nagbabago ng mga transaksyon, na-kompromisong front-ends, o DNS hijacking.

Mas mahalaga, ang paggamit ng mga verified contract at halos magkaparehong mga address ay nagpapakita kung paano pinapahusay ng mga attacker ang kanilang mga pamamaraan upang malampasan ang pagsusuri ng mga user.

Ang post na New ‘sophisticated’ phishing exploit drains $3M in USDC from multi-sig wallet ay unang lumabas sa CryptoSlate.