Коли смарт-контракти стають зброєю: $10 мільйонів викрадено через фішинг-інцидент

Світ криптовалют знову отримав сигнал тривоги у березні, коли аудитора безпеки CertiK зафіксували переміщення $10 мільйонів ETH у Tornado Cash — сервіс для змішування криптовалют, відомий своєю участю у відмиванні вкрадених активів. Це був не просто злом гаманця. Зловмисник успішно використав, здавалося б, безневинну функцію смарт-контракту для викачування коштів у недосвідченого інвестора.

Як дозволи на токени перетворюються на пастки

Ось де стає небезпечно: жертва непомітно надала дозвіл на транзакцію “Increase Allowance”. Ця функція, вбудована у стандарти ERC-20, створена для зручності — дозволяє смарт-контрактам витрачати ваші токени з вашого дозволу. Але у цьому випадку зловмисник використав її блискуче. Замість безпосереднього крадіжки коштів, він отримав можливість затверджувати і передавати активи на свій розсуд. Це все одно, що дати комусь порожній чек і сподіватися, що його не знімуть.

Платформа виявлення шахрайства у блокчейні Scam Sniffer точно зафіксувала цей механізм у дії. Зловмисник перетворив вкрадені активи у 13 785 ETH (вартістю приблизно 40,6 мільйонів доларів за поточними цінами близько 2 950 доларів за токен) і 1,64 мільйона DAI, а потім обережно маршрутизував частини через біржі, щоб приховати сліди.

Числа розповідають тривожну історію

Цей інцидент пов’язаний із більшою кампанією фішингу у вересні 2023 року, спрямованою на криптовалютного киту. Жертва втратила $24 мільйонів у застейканому ETH через сервіс Rocket Pool під час першої атаки. Експлуатація відбулася у дві хвилі: спершу зняли 9 579 stETH, потім — 4 851 rETH з того ж акаунта.

Але вереснева подія була лише однією з багатьох. Останні дані показують, що лише у лютому зникло майже $47 мільйонів через шахрайські схеми, пов’язані з фішингом — при цьому 78% цих крадіжок трапилися на Ethereum, а ERC-20 токени становили 86% вкрадених коштів. Шаблон очевидний: дозволи на токени стали улюбленим заднім входом для зловмисників.

Коли старі контракти стають векторами атак

У березні виникли нові проблеми. Вразливий смарт-контракт, раніше використаний біржею Dolomite, був зламаний, що призвело до викачування 1,8 мільйона доларів з користувачів, яким раніше було надано дозвіл. Команда Dolomite терміново випустила рекомендацію про скасування дозволу, закликаючи користувачів відкликати згоду з вразливим контрактом.

Інцидент із Layerswap відкрив ще один рівень уразливості. Коли їхній сайт був зламаний через фішинг, близько 50 користувачів втратили активи на суму 100 000 доларів, поки команда і провайдер домену не змогли зупинити витік. Хоча Layerswap пообіцяв повне відшкодування та компенсацію, шкода була завдана.

Більше картини: освіта і технології

Ці випадки — не ізольовані інциденти, а симптоми системної проблеми. Дозволи на токени демократизували доступ до функціональності блокчейну, але водночас створили небезпечну сліпу зону. Користувачі часто надають контрактах дозволи, не розуміючи, що саме вони дозволяють. Розрив у технічній обізнаності між звичайними користувачами і зловмисниками продовжує зростати.

Компанії з безпеки, такі як CertiK і PeckShield, займаються захистом, аналізуючи транзакції у блокчейні і позначаючи підозрілі рухи. Але виявлення після події не запобігає втратам. Необхідно змінити підхід до взаємодії користувачів із смарт-контрактами: перевіряти кожен дозвіл, розуміти, що саме він означає, і бути пильними при роботі з гаманцями.

Криптоспільнота має інвестувати у кращі інструменти, більш зрозумілий інтерфейс/дизайн процесу дозволів і постійні освітні кампанії. Поки розрив між технічною реальністю і розумінням користувачів не зменшиться, фішинг-атаки, що використовують дозволи на токени, залишатимуться однією з найстійкіших загроз сектору.