การโจรกรรมเงินดิจิทัลจากการฟิชชิ่ง
แฮ็กเกอร์ได้ขโมยเงินมากกว่า 440,000 ดอลลาร์ ใน USDC หลังจากที่เจ้าของกระเป๋าเงินได้ลงนามในลายเซ็น “อนุญาต” ที่เป็นอันตรายโดยไม่รู้ตัว ตามทวีตเมื่อวันจันทร์จาก Scam Sniffer. การโจรกรรมเกิดขึ้นท่ามกลางการเพิ่มขึ้นของการสูญเสียจากการฟิชชิ่ง รายงานประจำเดือนของ Scam Sniffer พบว่ามีเงินประมาณ 7.77 ล้านดอลลาร์ ถูกขโมยจากผู้เสียหายมากกว่า 6,000 ราย ในเดือนพฤศจิกายน ซึ่งแสดงถึงการเพิ่มขึ้น 137% ในการสูญเสียรวมจากเดือนตุลาคม แม้ว่าจำนวนผู้เสียหายจะลดลง 42%.
การโจมตีที่เพิ่มขึ้น
“การล่าปลาฉลามเพิ่มขึ้นอย่างมาก โดยมีการโจมตีสูงสุดที่ 1.22 ล้านดอลลาร์ (ลายเซ็นอนุญาต) แม้ว่าจะมีการโจมตีที่น้อยลง แต่การสูญเสียของแต่ละบุคคลกลับเพิ่มขึ้นอย่างมีนัยสำคัญ”
บริษัทกล่าว การหลอกลวงที่อิงจากอนุญาตเกี่ยวข้องกับการหลอกลวงผู้ใช้ให้ลงนามในธุรกรรมที่ดูเหมือนถูกต้องตามกฎหมาย แต่ค่อยๆ มอบสิทธิ์ให้ผู้โจมตีในการใช้จ่ายโทเค็นของพวกเขา dapps ที่เป็นอันตรายอาจซ่อนฟิลด์ ปลอมชื่อสัญญา หรือเสนอคำขอลายเซ็นในลักษณะที่ดูเหมือนเป็นเรื่องปกติ หากผู้ใช้ไม่ตรวจสอบรายละเอียด การลงนามในคำขอจะทำให้ผู้โจมตีมีสิทธิ์เข้าถึงโทเค็น ERC-20 ทั้งหมดของผู้ใช้ เมื่อได้รับอนุญาตแล้ว ผู้หลอกลวงมักจะถอนเงินทันที.
วิธีการโจมตี
วิธีการนี้ใช้ประโยชน์จากฟังก์ชันอนุญาตของ Ethereum ซึ่งออกแบบมาเพื่อทำให้การโอนโทเค็นง่ายขึ้นโดยอนุญาตให้ผู้ใช้มอบสิทธิ์การใช้จ่ายให้กับแอปพลิเคชันที่เชื่อถือได้ ความสะดวกสบายกลายเป็นช่องโหว่เมื่อสิทธิ์เหล่านั้นถูกมอบให้กับผู้โจมตี.
“สิ่งที่ซับซ้อนเกี่ยวกับประเภทการโจมตีนี้คือผู้โจมตีสามารถดำเนินการอนุญาตและโอนโทเค็นในธุรกรรมเดียว (วิธีการแบบรวบรวมและขโมย) หรือพวกเขาสามารถให้สิทธิ์เข้าถึงตนเองผ่านอนุญาตและจากนั้นรอคอยที่จะโอนเงินที่เพิ่มเข้ามาในภายหลัง”
Tara Annison หัวหน้าฝ่ายผลิตภัณฑ์ที่ Twinstake กล่าวกับ Decrypt “ความสำเร็จของการหลอกลวงประเภทนี้ขึ้นอยู่กับการที่คุณลงนามในสิ่งที่คุณไม่ค่อยเข้าใจว่ามันจะทำอะไร” เธอกล่าวเสริมว่า “ทั้งหมดเกี่ยวกับความเปราะบางของมนุษย์และการใช้ประโยชน์จากความกระตือรือร้นของผู้คน”.
การป้องกันและการตรวจสอบ
Annison กล่าวเพิ่มเติมว่าเหตุการณ์นี้ไม่ใช่เรื่องแปลก “มีตัวอย่างการหลอกลวงฟิชชิ่งที่มีมูลค่าสูงและปริมาณมากมายที่ออกแบบมาเพื่อหลอกลวงผู้ใช้ให้ลงนามในสิ่งที่พวกเขาไม่เข้าใจอย่างเต็มที่ มักจะทำภายใต้หน้ากากของการแจกจ่ายฟรี หน้าแลนดิ้งของโครงการปลอมเพื่อเชื่อมต่อกระเป๋าเงินของคุณ [หรือ] การเตือนความปลอดภัยปลอมเพื่อเช็คว่าคุณได้รับผลกระทบหรือไม่” เธอกล่าว.
ผู้ให้บริการกระเป๋าเงินได้เริ่มเปิดตัวฟีเจอร์ป้องกันมากขึ้น ตัวอย่างเช่น MetaMask เตือนผู้ใช้หากเว็บไซต์ดูน่าสงสัยและพยายามแปลข้อมูลธุรกรรมให้เป็นเจตนาที่อ่านได้สำหรับมนุษย์ กระเป๋าเงินอื่น ๆ ก็เน้นการกระทำที่มีความเสี่ยงสูงเช่นกัน แต่ผู้หลอกลวงยังคงปรับตัวต่อไป.
การตรวจสอบที่อยู่และรายละเอียด
“การโจมตีแบบอนุญาตค่อนข้างแพร่หลาย และกระตุ้นให้ผู้ใช้ตรวจสอบที่อยู่ผู้ส่งและรายละเอียดสัญญา”
Harry Donnelly ผู้ก่อตั้งและ CEO ของ Circuit กล่าวกับ Decrypt “นั่นคือวิธีที่ชัดเจนที่สุดในการรู้ว่าหากมันเป็นโปรโตคอลที่ไม่ตรงกับที่คุณพยายามส่งเงินไปจริง ๆ นั่นอาจเป็นใครบางคนที่พยายามขโมยเงิน” เขากล่าว.
Annison เน้นย้ำว่าความระมัดระวังยังคงเป็นการป้องกันที่แข็งแกร่งที่สุดของผู้ใช้ “วิธีที่ดีที่สุดในการปกป้องตัวเองจากการหลอกลวงอนุญาต approveAll หรือ transferFrom คือการทำให้แน่ใจว่าคุณรู้ว่าคุณกำลังลงนามในอะไร การกระทำใดจะถูกดำเนินการในธุรกรรมจริง? ฟังก์ชันใดที่ถูกใช้? สิ่งเหล่านี้ตรงกับสิ่งที่คุณคิดว่าคุณกำลังลงนามหรือไม่?”
การกู้คืนเงินที่ถูกขโมย
เมื่อถูกขโมยแล้ว การกู้คืนเงินเป็นไปได้ยาก Martin Derka ผู้ร่วมก่อตั้งและหัวหน้าด้านเทคนิคที่ Zircuit Finance กล่าวกับ Decrypt ว่าโอกาสในการกู้คืนเงินนั้น “แทบจะเป็นศูนย์”.
“ในการโจมตีฟิชชิ่ง คุณกำลังเผชิญหน้ากับบุคคลที่มีเป้าหมายทั้งหมดคือการเอาเงินของคุณไป ไม่มีการเจรจา ไม่มีจุดติดต่อ และมักจะไม่มีความคิดว่าฝ่ายตรงข้ามคือใคร” เขากล่าว.
“ผู้โจมตีเหล่านี้เล่นเกมตัวเลข” Derka กล่าวเสริมว่า “เมื่อเงินหายไป มันก็หายไป การกู้คืนแทบจะเป็นไปไม่ได้เลย”
