Sáng ngày 22/01, một người dùng xấu số đã bị hack mất lượng lớn aEthWETH và aEthUNI trị giá 4,2 triệu USD sau khi xác thực nhiều giao dịch ERC-20 Permit.
Một người mất 4,2 triệu USD do bị tấn công phishing
Phát hiện bởi đơn vị điều tra Scam Sniffer vào sáng ngày 22/01, người dùng 0x17… 3487 đã mất aEthWETH và aEthUNI trị giá 4,2 triệu USD do bị tấn công mạo nhận (phishing attack).
insane! someone lost $4.20m worth of aEthWETH and aEthUNI to crypto phishing about 40 minutes ago!https://t.co/PqtYbfjrW5 pic.twitter.com/2Nhx4HDQcK
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) January 22, 2024
Nạn nhân đã ký phê duyệt nhiều giao dịch ERC-20 Permit. Theo đó, kẻ xấu đã lạm dụng loại hợp đồng opcode CREATE2 để bỏ qua các cảnh báo bảo mật, tạo địa chỉ mới cho mỗi chữ ký và thành công trong việc điều hướng tiền nạn nhân.
victim signed multiple ERC20 Permit signatures, and these token spenders are the temp address pre-computed by CREATE2.https://t.co/78k82fbRfk pic.twitter.com/CE7lbPYsYn
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) January 22, 2024
Hồi tháng 8/2023, một trường hợp sử dụng hình thức này cũng được đơn vị bảo mật Slow Mist báo cáo, vụ hack đã dẫn đến 3 triệu USD crypto bị đánh cắp.
Scam Sniffer cảnh báo, người giao dịch cần hết sức cẩn trọng khi ký phê duyệt giao dịch, đặc biệt chú ý tới các cảnh báo từ ứng dụng ví Web3. Ngoài ra cũng trang bị cho mình kiến thức về các hình thức phishing, bao gồm phising chữ ký.
Theo báo cáo năm mới phát hành từ Scam Sniffer, người dùng trong năm 2023 đã mất gần 295 triệu USD từ việc bị tấn công giả mạo. Đây được xem hình thức scam được tin tặc sử dụng phổ biến nhất trong không gian crypto.
Coincuatui tổng hợp
Nguồn: Coin68