Hacker stjæler $440.000 i USDC
En hacker stjal mere end $440.000 i USDC, efter at en wallet-ejer uvidende underskrev en ondsindet “permit”-signatur, ifølge en tweet fra Scam Sniffer mandag. Tyveriet kommer midt i en stigning i phishing-tab. Omtrent $7,77 millioner blev drænet fra mere end 6.000 ofre i november, ifølge Scam Sniffers månedlige rapport, hvilket repræsenterer en stigning på 137% i de samlede tab fra oktober, selvom antallet af ofre faldt med 42%.
Metoder til permit-baseret svindel
“Whale hunting intensiveredes med et top-hit på $1,22 millioner (permit-signatur). På trods af færre angreb voksede de individuelle tab betydeligt,” bemærkede virksomheden. Permit-baserede svindelnumre handler om at narre brugere til at underskrive en transaktion, der ser legitim ud, men som stille og roligt giver en angriber ret til at bruge deres tokens. Ondsindede dapps kan skjule felter, forfalske kontraktnavne eller præsentere signaturanmodningen som noget rutinemæssigt. Hvis en bruger ikke undersøger detaljerne, giver underskrivelsen af anmodningen effektivt angriberen tilladelse til at få adgang til alle brugerens ERC-20 tokens. Når det er givet, dræner svindlerne typisk midlerne med det samme.
Ekspertudtalelser om svindelmetoder
“Det, der er særligt tricky ved denne type angreb, er, at angriberne enten kan udføre permit og overførsel af tokens i én transaktion (en smash-and-grab-tilgang), eller de kan give sig selv adgang via permit og så ligge i dvale og vente på at overføre eventuelle senere tilføjede midler (så længe de sætter en passende langt væk adgangsfrist inden for permit-funktionens metadata),” sagde Tara Annison, produktchef hos Twinstake, til Decrypt.
“Succesen med disse typer svindel afhænger af, at du underskriver noget, som du ikke helt indser, hvad det vil gøre,” sagde hun og tilføjede, at “det hele handler om den menneskelige sårbarhed og at udnytte folks ivrighed.” Annison tilføjede, at denne hændelse er langt fra isoleret. “Der er mange store værdier og højvolumen eksempler på phishing-svindel designet til at narre brugere til at underskrive noget, de ikke helt forstår. Ofte udført under dække af gratis airdrops, falske projektlandingssider for at forbinde din wallet til, eller svigagtige sikkerhedsadvarsler for at tjekke, om du er blevet påvirket,” tilføjede hun.
Beskyttelsesforanstaltninger og brugeradvarsler
Wallet-udbydere har rullet flere beskyttende funktioner ud. MetaMask advarer for eksempel brugere, hvis en side ser mistænkelig ud, og forsøger at oversætte transaktionsdata til menneskeligt læselig hensigt. Andre wallets fremhæver også højrisiko handlinger. Men svindlerne fortsætter med at tilpasse sig. Harry Donnelly, grundlægger og CEO af Circuit, sagde til Decrypt, at permit-stil angreb er “ret udbredte” og opfordrede brugere til at tjekke afsenderadresser og kontraktdetaljer.
“Det er den klareste måde at vide, at hvis det er et protokol, der ikke matcher, hvor du faktisk prøver at sende midlerne, så er det sandsynligvis nogen, der prøver at stjæle midler,” sagde han. “Du kan tjekke beløbet, så ofte vil de forsøge at give ubegrænsede godkendelser, sådan.”
Annison understregede, at årvågenhed stadig er brugernes stærkeste forsvar. “Den bedste måde at beskytte sig mod en permit, approveAll eller transferFrom svindel er at sikre, at du ved, hvad du underskriver. Hvilke handlinger vil faktisk blive udført i transaktionen? Hvilke funktioner bruges? Matcher disse op med, hvad du troede, du underskrev?”
Udfordringer ved genvinding af stjålne midler
Mange wallets og dapps har forbedret brugergrænseflader for at sikre, at du ikke blindt underskriver noget og kan se, hvad det vil resultere i, samt advarsler for højrisikofunktioner, der bruges. Men det er vigtigt, at brugerne aktivt tjekker, hvad de underskriver, og ikke bare forbinder deres wallet og trykker på underskriv. Når midlerne er stjålet, er det usandsynligt, at de kan genvindes.
Martin Derka, medstifter og teknisk leder hos Zircuit Finance, sagde til Decrypt, at chancerne for at få midlerne tilbage var “praktisk talt nul.” “I phishing-angreb har du at gøre med en person, hvis eneste mål er at tage dine midler. Der er ingen forhandling, ingen kontaktpunkt, og ofte ingen idé om, hvem modparten er,” sagde han. “Disse angribere spiller et talspil,” sagde Derka og tilføjede, at “når pengene er væk, er de væk. Genopretning er i det væsentlige umulig.”
