Una ballena criptográfica perdió más de $ 6 millones en Ethereum estacada (Steth) y bitcoin envuelto en AAVE (AETHWBTC) después de aprobar firmas maliciosas en un esquema de phishing el 18 de septiembre, según la firma de seguridad de blockchain Scam Sniffer.
Según la firma, los atacantes disfrazaron su movimiento como una confirmación de billetera de rutina a través de firmas de “permiso”, que engañó a la víctima para que autorizara transferencias de fondos sin desencadenar obvias banderas rojas.
Yu Xian, fundador de Blockchain Security Company Slowmist, señaló que la víctima no reconoció el peligro porque la transacción no requería tarifas de gas. Él escribió:
“Desde la perspectiva de la víctima, simplemente hizo clic varias veces para confirmar las solicitudes de firma emergente de la billetera, no gastó un solo centavo de gas y habían ido $ 6.28 millones”.
Cómo funcionan los exploits de permiso
Las aprobaciones de permisos se diseñaron originalmente para simplificar las transferencias de token. En lugar de enviar una aprobación en la cadena y pagar tarifas, un usuario puede firmar un mensaje fuera de la cadena que autoriza a un gastador.
Esa eficiencia, sin embargo, ha creado una nueva superficie de ataque para jugadores maliciosos.
Una vez que un usuario firma dicho permiso, los atacantes pueden combinar dos funciones, permita y transferir, para drenar los activos directamente. Debido a que la autorización tiene lugar fuera de la cadena, los paneles de billetera no muestran actividad inusual hasta que los fondos se muevan.
Como resultado, los activos se han ido cuando la aprobación se ejecuta en la cadena, y los tokens se redirigen a la billetera del atacante.
Este laguna ha hecho que las hazañas de permisos cada vez más atractivas para los actores maliciosos, que pueden desviar a millones sin necesidad de hacks complejos o guerras de gas de alto costo.
Pérdidas de phishing
El último robo destaca una tendencia más amplia de campañas de phishing en aumento.
Scam Sniffer informó que solo en agosto, los atacantes robaron $ 12.17 millones de más de 15,200 víctimas. Esa cifra representó un salto del 72% en pérdidas en comparación con julio.
Según la firma, la participación más significativa de los daños de agosto provino de tres cuentas grandes que representaron casi la mitad del total. Esto incluyó una billetera que perdió $ 3.08 millones en una sola exploit.
Mientras tanto, la empresa atribuyó el aumento en las pérdidas a un aumento en las estafas de firma de lotes EIP-7702 y transferencias directas a contratos maliciosos.
Teniendo en cuenta esto, los expertos en seguridad han instado a los usuarios criptográficos a ser cautelosos al interactuar con las solicitudes de billetera y rechazar las demandas que otorgan permisos ilimitados a sus billeteras.
Mencionado en este artículo
(TagStotranslate) Ethereum
