Hacker stjeler over $440,000 i USDC
En hacker stjal mer enn $440,000 i USDC etter at en lommebeeier uvitende signerte en ondsinnet «permit»-signatur, ifølge en tweet fra Scam Sniffer på mandag. Tyveriet skjer midt i en økning av phishing-tap. Omtrent $7.77 millioner ble tappet fra mer enn 6,000 ofre i november, ifølge Scam Sniffers månedlige rapport, som representerer en økning på 137% i totale tap fra oktober, selv om antallet ofre falt med 42%.
Metoder for permit-baserte svindler
«Whale hunting intensiverte seg med et topp-tap på $1.22 millioner (permit-signatur). Til tross for færre angrep, vokste individuelle tap betydelig,» bemerket selskapet. Permit-baserte svindler dreier seg om å lure brukere til å signere en transaksjon som ser legitim ut, men som stille gir en angriper rett til å bruke tokenene deres. Ondsinnede dapps kan skjule felt, forfalske kontraktnavn, eller presentere signaturforespørselen som noe rutinemessig. Hvis en bruker ikke nøye undersøker detaljene, gir signeringen av forespørselen effektivt angriperen tillatelse til å få tilgang til alle brukerens ERC-20 tokens. Når tillatelsen er gitt, tømmer svindlerne vanligvis midlene umiddelbart.
Utnyttelse av Ethereums permit-funksjon
«Det som er spesielt vanskelig med denne typen angrep, er at angriperne enten kan utføre permit og overføring av tokens i én transaksjon (en smash-and-grab-tilnærming) eller de kan gi seg selv tilgang via permit og deretter ligge i dvale og vente på å overføre bort eventuelle senere tilførte midler (så lenge de setter en passende langt unna tilgangsfrist innen permit-funksjonens metadata),» sa Tara Annison, produktleder hos Twinstake, til Decrypt.
«Suksessen til disse typene svindler avhenger av at du signerer noe som du ikke helt forstår hva vil gjøre,» sa hun, og la til at, «Det handler alt om menneskelig sårbarhet og å utnytte folks iver.» Annison la til at denne hendelsen er langt fra isolert. «Det finnes mange store verdier og høyvolum eksempler på phishing-svindel designet for å lure brukere til å signere noe de ikke fullt ut forstår. Ofte gjort under dekke av gratis airdrops, falske prosjektlandingssider for å koble lommeboken din til [eller] svindelvarsler for å sjekke om du har blitt påvirket,» la hun til.
Beskyttelse og årvåkenhet
Lommebokleverandører har rullet ut flere beskyttende funksjoner. MetaMask, for eksempel, advarer brukere hvis et nettsted virker mistenkelig og prøver å oversette transaksjonsdata til menneskelig lesbar intensjon. Andre lommebøker fremhever også høy-risiko handlinger. Men svindlere fortsetter å tilpasse seg. Harry Donnelly, grunnlegger og administrerende direktør i Circuit, fortalte Decrypt at permit-stil angrep er «ganske utbredt» og oppfordret brukere til å sjekke avsenderadresser og kontraktdetaljer.
«Det er den klareste måten å vite at hvis det er et protokoll som ikke samsvarer med hvor du faktisk prøver å sende midlene, så er det sannsynligvis noen som prøver å stjele midler,» sa han. «Du kan sjekke beløpet, så ofte vil de prøve å gi ubegrensede godkjenninger, slik.»
Annison understreket at årvåkenhet fortsatt er brukernes sterkeste forsvar. «Den beste måten å beskytte seg mot en permit, approveAll eller transferFrom svindel er å sørge for at du vet hva du signerer. Hvilke handlinger vil faktisk bli utført i transaksjonen? Hvilke funksjoner brukes? Matcher disse opp med hva du trodde du signerte?»
«Mange lommebøker og dapps har forbedret brukergrensesnitt for å sikre at du ikke blindt signerer noe og kan se hva det vil resultere i, samt advarsler for høy risiko-funksjoner som brukes. Men det er viktig at brukere aktivt sjekker hva de signerer og ikke bare kobler lommeboken sin og trykker på signér,» sa hun.
Uopprettelig tap av midler
Når midlene er stjålet, er det usannsynlig at de kan gjenopprettes. Martin Derka, medgründer og teknisk leder hos Zircuit Finance, fortalte Decrypt at sjansene for å få midlene tilbake var «nesten null.»
«I phishing-angrep har du å gjøre med en person hvis hele mål er å ta midlene dine. Det er ingen forhandling, ingen kontaktpunkt, og ofte ingen anelse om hvem motparten er,» sa han. «Disse angriperne spiller et tallspill,» sa Derka, og la til at, «Når pengene er borte, er de borte. Gjenoppretting er i praksis umulig.»
