Hacker stjäl över 440 000 dollar i USDC
En hacker kom över mer än 440 000 dollar i USDC efter att en plånboksägare omedvetet skrev under en skadlig ”permit”-signatur, enligt en tweet från Scam Sniffer på måndagen. Stölden inträffar mitt under en ökning av phishingförluster. Ungefär 7,77 miljoner dollar drogs från mer än 6 000 offer i november, vilket representerar en ökning med 137 % i totala förluster från oktober, även om antalet offer minskade med 42 %.
”Valjakten intensifierades med ett toppbelopp på 1,22 miljoner dollar (permit-signatur). Trots färre attacker växte individuella förluster avsevärt,” noterade företaget.
Hur permit-baserade bedrägerier fungerar
Permit-baserade bedrägerier handlar om att lura användare att skriva under en transaktion som ser legitim ut men tyst ger en angripare rätten att spendera deras tokens. Skadliga dapps kan dölja fält, förfalska kontraktsnamn eller presentera signaturförfrågan som något rutinmässigt. Om en användare misslyckas med att granska detaljerna, ger signeringen av förfrågan effektivt angriparen tillstånd att få tillgång till alla användarens ERC-20-tokens. När tillståndet har beviljats dränerar bedragarna vanligtvis medlen omedelbart.
Metoden utnyttjar Ethereums permit-funktion, som är utformad för att göra tokenöverföringar enklare genom att låta användare delegera spenderingsrättigheter till betrodda applikationer. Bekvämligheten blir en sårbarhet när dessa rättigheter beviljas en angripare.
”Det som är särskilt knepigt med denna typ av attack är att angriparna antingen kan genomföra permit och överföring av tokens i en transaktion (en smash-and-grab-typ av tillvägagångssätt) eller så kan de ge sig själva tillgång via permit och sedan ligga i dvala och vänta på att överföra bort eventuella senare tillagda medel,” sa Tara Annison, produktchef på Twinstake, till Decrypt.
Vikten av vaksamhet
Annison tillade att denna incident är långt ifrån isolerad. ”Det finns många exempel på phishingbedrägerier med stort värde och hög volym som är utformade för att lura användare att skriva under något de inte helt förstår. Ofta görs det under förevändning av gratis airdrops, falska projektlandningssidor för att koppla din plånbok till, eller bedrägliga säkerhetsvarningar för att kontrollera om du har blivit påverkad,” tillade hon.
Plånboksleverantörer har infört fler skyddande funktioner. MetaMask, till exempel, varnar användare om en webbplats verkar misstänkt och försöker översätta transaktionsdata till ett mänskligt läsbart format. Andra plånböcker lyfter också fram hög-riskåtgärder. Men bedragare fortsätter att anpassa sig.
”Det är det tydligaste sättet att veta att om det är ett protokoll som inte matchar där du faktiskt försöker skicka medlen, då är det troligtvis någon som försöker stjäla medel,” sa Harry Donnelly, grundare och VD för Circuit, till Decrypt.
Återhämtning av stulna medel
När medlen väl har stulits är återhämtning osannolik. Martin Derka, medgrundare och teknisk ledare på Zircuit Finance, sa till Decrypt att chansen att få tillbaka medlen var ”i praktiken noll”. ”I phishingattacker har du att göra med en individ vars hela mål är att ta dina medel. Det finns ingen förhandling, ingen kontaktpunkt, och ofta ingen aning om vem motparten är,” sa han.
”Dessa angripare spelar ett siffer-spel. När pengarna är borta, så är de borta. Återhämtning är i praktiken omöjlig,” sa Derka.
