Une attaque de phishing conduit à un transfert d’ether de 10 millions de dollars vers Tornado Cash : démasquer les menaces de sécurité des crypto-monnaies
Summary:
Cet article traite du transfert de 10 millions de dollars en Ether (ETH) lié à une attaque de phishing en septembre 2023 vers le protocole de mélange de cryptomonnaies, Tornado Cash. Les experts en sécurité de la blockchain ont retracé le mouvement des fonds à partir d’un piratage de 24 millions de dollars impliquant une crypto-baleine. Le scénario a relancé les discussions sur l’utilisation abusive potentielle des contrats intelligents et des approbations de jetons par les pirates. L’article explique également comment le phishing continue de sévir dans la communauté cryptographique, avec des millions de dollars perdus à cause de telles escroqueries, principalement sur le réseau Ethereum et impliquant des jetons ERC-20.
En octobre 2023, une attaque de phishing a été connectée à un compte particulier, qui a maintenant déplacé 10 millions de dollars d’Ether (ETH) dans le protocole de mélange de crypto-monnaies connu sous le nom de Tornado Cash. Comme l’a rapporté Etherscan, le pirate a transféré les fonds à Tornado Cash. L’agence de sécurité blockchain CertiK a rapporté le 21 mars qu’un compte lié à un piratage de 24 millions de dollars avait envoyé 3 700 ETH à Tornado Cash. Un important détenteur de crypto-actifs a été victime d’une opération de phishing le 6 septembre 2023, perdant 24 millions de dollars d’ETH mis en jeu sur Rocket Pool, un fournisseur de jalonnement liquide. L’acte trompeur a été scindé en deux opérations ; 9 579 stETH ont été prélevés dans le premier cas, et 4 851 rETH ont été siphonnés dans le second. Scam Sniffer, un projet de lutte contre les escroqueries, a révélé que la victime avait signé une transaction « Augmenter l’allocation », fournissant au pirate des autorisations de jeton. Dans le contexte des contrats intelligents, cette fonctionnalité permet à des tiers sanctionnés de dépenser des jetons ERC-20 appartenant à d’autres. Cet élément d’autorisation des jetons a été largement discuté dans la sphère cryptographique, mettant l’accent sur l’utilisation abusive potentielle par les développeurs par le biais de contrats intelligents malveillants. La société de sécurité blockchain PeckShield a identifié que l’attaquant avait échangé les actifs contre 13 785 ETH et 1,64 million de Dai (DAI). Une partie du DAI a été transférée vers l’échange FixedFload, tandis que la plupart des fonds volés ont été placés dans d’autres portefeuilles. Les incursions d’hameçonnage persistent comme un problème majeur dans la sphère cryptographique. Selon le rapport de Scam Sniffer, 47 millions de dollars ont été perdus à cause de ces escroqueries en février. Le rapport a montré que 78 % des vols ont eu lieu sur le réseau Ethereum et que 86 % des actifs volés étaient des jetons ERC-20. L’approbation des jetons a provoqué des pertes récentes parmi les détenteurs de crypto-monnaies. Le 20 mars, un contrat obsolète, autrefois utilisé par la bourse Dolomite, a été exploité pour soutirer 1,8 million de dollars à ses utilisateurs. Cette violation a eu un impact sur les utilisateurs qui avaient autorisé les approbations pour le contrat, ce qui a conduit l’équipe de développement de Dolomite à recommander aux utilisateurs d’annuler les gestes d’approbation préalable à l’ancienne adresse du contrat. Bien que certaines attaques entraînent des pertes de plusieurs millions de dollars, certaines tentatives de vol de cryptomonnaies sont interceptées rapidement. Par exemple, le 20 mars, le groupe Layerswap a évité d’autres dommages après une violation de site Web grâce à l’intervention opportune de son fournisseur de domaine. Malgré cette action rapide, les pirates ont réussi à extraire environ 100 000 $ d’actifs de 50 utilisateurs. Layerswap s’est engagé à rembourser les utilisateurs concernés et à leur offrir une compensation supplémentaire pour leurs tracas.
Published At
3/21/2024 4:41:56 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.