Атака на Request Finance: $3 мільйони USDC втрачені через підроблений контракт

Втрата $3.047 мільйона USDC внаслідок атаки на підроблений контракт Request Finance

Недавня фішингова атака призвела до втрати $3.047 мільйона USDC. Зловмисники націлилися на мультипідписний гаманець Safe, використовуючи підроблений контракт Request Finance. Розслідувачі повідомляють, що нападники ретельно спланували цю схему, виконуючи її так, щоб вона виглядала майже авторизованою.

Постраждалий використовував гаманець з мультипідписом 2 із 4. Згідно з інформацією Scam Sniffer, транзакція здавалася обробленою через інтерфейс програми Request Finance. Однак у прихованому запиті була затверджена шкідлива угода.

Адреса підробленого контракту була майже ідентичною до законної. Лише незначні відмінності в середніх символах ускладнювали виявлення на перший погляд. Обидва контракти починалися та закінчувалися одним і тим же символом, що ускладнювало їхнє розрізнення. Для підвищення credibilitiy нападники навіть підтвердили шкідливий контракт на Etherscan, що створило ілюзію автентичності для тих, хто перевіряв його случайно.

Після надання дозволу нападники негайно вивели $3.047 мільйона USDC. Вкрадені кошти були обміняні на ETH, а згодом швидко переміщені в Tornado Cash, що ускладнило їх відстеження.

Тщательно спланований хронологічний графік

Хронологія атаки демонструє чітку підготовку. За тринадцять днів до крадіжки, зловмисники розгорнули підроблений контракт Request Finance. Під час цього вони виконували кілька транзакцій «batchPayments», щоб контракт виглядав активним і надійним. Коли потерпілий нарешті взаємодіяв з ним, контракт здавався таким, що має нормальну історію використання.

Коли жертва використовувала програму Request Finance, нападники непомітно додали приховане затвердження в пакетну транзакцію. Як тільки транзакцію підписали, експлуатація була завершена.

Відповідь від Request Finance

Request Finance визнали інцидент і випустили声明 попередження користувачам. Компанія підтвердила, що зловмисник розгорнув підроблену версію свого контракту для пакетних платежів. Згідно зі заявою, постраждала була лише одна клієнтка. Уразливість з тих пір була виправлена, але точний метод, яким було введено шкідливе затвердження, залишається невідомим.

Безпекові питання

Цей випадок підкреслює зростаючу тенденцію шахрайств у криптоіндустрії. Нападники більше не покладаються на прості фішингові посилання або очевидні трюки. Натомість вони впроваджують перевірені контракти, наслідуючи реальні послуги та приховуючи шкідливі дії у складних транзакціях.

Пакетні транзакції, які створені для спрощення платежів, можуть також створювати можливості для зловмисників, оскільки вони об’єднують кілька дій, ускладнюючи користувачам перевірку кожного затвердження або переказу. Ця непрозорість дозволяє зловмисникам пропускати шахрайські операції непомітно, поки не буде занадто пізно.

Уроки для спільноти

Експерти наголошують на необхідності крайньої обережності при використанні функцій мультивідправлення або пакетних платежів. Кожне затвердження контракту слід перевіряти символ за символом, щоб уникнути плутанини з подібними адресами. Навіть одна проігнорована деталь може призвести до великих втрат, як це сталося в цьому випадку.

Безпекові фірми також рекомендують зменшити використання браузерних розширень, перевіряти неперевірені програми, що підключаються до гаманців.

Оновлення програмного забезпечення, використання апаратних гаманців для затверджень та перевірка адрес контрактів через надійні джерела можуть зменшити ризик таких експлуатацій.

Дороге нагадування

Втрати в розмірі $3.047 мільйона є ще одним нагадуванням про високі ставки в децентралізованих фінансах. Хоча Safe та Request Finance залишаються популярними інструментами, зловмисники все частіше експлуатують їхню складність. Для користувачів обережність є єдиним надійним захистом. У цьому випадку нападники покладалися на тонкість, підготовку та переконливу підробку. На жаль, цього було досить, щоб обманути навіть налаштовану на мультипідпис фізичну систему надання доступу.

Інцидент показує, що в криптовалютному світі кожен клік і кожне затвердження мають значення.