ในฐานะนักลงทุน crypto ผู้ช่ำชองและมีรอยแผลเป็นจากการต่อสู้เล็กน้อย ฉันอดไม่ได้ที่จะรู้สึกหงุดหงิดและความผิดหวังเมื่อได้ยินเกี่ยวกับการโจมตีแบบฟิชชิ่งที่ประสบความสำเร็จอีกครั้งในพื้นที่ DeFi เหตุการณ์ล่าสุดที่เกี่ยวข้องกับเหยื่อที่สูญเสีย 85 Lido ETH ผ่านสัญญา Multicall ของ Uniswap V3 ถือเป็นเครื่องเตือนใจว่าไม่ว่าเทคโนโลยีจะก้าวหน้าแค่ไหนหรือเราจะขยันแค่ไหน ก็จะต้องมีผู้ที่พยายามหาประโยชน์จากจุดอ่อนและสร้างกำไรจากโชคร้ายของผู้อื่นเสมอ
ในฐานะนักลงทุน crypto ฉันสังเกตเห็นแนวโน้มใหม่ในกลุ่มผู้ระบายกระเป๋าสตางค์ พวกเขากำลังใช้ Multicall ซึ่งเป็นฟีเจอร์ที่ถูกต้องตามกฎหมายของ Uniswap V3 ในรูปแบบที่สร้างสรรค์ในการหลีกเลี่ยงมาตรการรักษาความปลอดภัยและดำเนินการโจมตีแบบฟิชชิ่งที่ซับซ้อน น่าเสียดายที่กลยุทธ์นี้ได้รับการพิสูจน์แล้วว่าประสบความสำเร็จเมื่อเร็ว ๆ นี้ ซึ่งนำไปสู่การกำจัด 85 Lido ETH จากเหยื่อที่ไม่สงสัย
แฮกเกอร์ทำมันได้อย่างไร??
ในฐานะนักวิเคราะห์ความปลอดภัย ฉันสังเกตเห็นแนวโน้มที่เพิ่มขึ้นอย่างน่าตกใจในกิจกรรมการแฮ็กที่เกี่ยวข้องกับการใช้ลายเซ็น Permit ในทางที่ผิด ในเหตุการณ์เหล่านี้ ผู้กระทำผิดพยายามทำให้ดูเหมือนว่าสัญญา Uniswap Multicall เป็นผู้ริเริ่มการโอนสินทรัพย์โดยไม่ได้รับอนุญาตแทนที่จะเป็นเหยื่อจริง การหลอกลวงนี้อาจนำไปสู่การสูญเสียทางการเงินที่สำคัญสำหรับผู้ใช้ที่ไม่สงสัย
ในฐานะนักลงทุน crypto ฉันต้องการแบ่งปันเหตุการณ์ที่เกิดขึ้นเมื่อเร็ว ๆ นี้ในโลก Web3 ทีมงานเฝ้าระวังที่ Scam Sniffer ซึ่งเป็นแพลตฟอร์มป้องกันการหลอกลวงที่เชื่อถือได้ของเรา ได้แจ้งเตือนเกี่ยวกับนักหลอกลวงที่มีไหวพริบบางคน ด้วยการใช้ประโยชน์จากฟังก์ชันรวมของ Multicall นักต้มตุ๋นเหล่านี้จึงทำธุรกรรมลับๆ โดยใช้คุณสมบัติใบอนุญาตและการโอน โดยที่เหยื่อผู้เคราะห์ร้ายไม่รู้จัก พวกเขาสามารถระบาย Lido ETH ได้ 85 เหรียญ ซึ่งเทียบเท่ากับประมาณ 269,620 ดอลลาร์ ตามอัตราตลาดในปัจจุบัน
อาชญากรกำลังใช้ประโยชน์จากคุณสมบัติของแท้ของแพลตฟอร์ม เช่น Uniswap V3 และฟังก์ชัน Multicall เพื่อหลบเลี่ยงคำเตือนความปลอดภัยของกระเป๋าเงิน ปูทางไปสู่การหลอกลวงแบบฟิชชิ่งที่ประสบความสำเร็จ เมื่อเร็ว ๆ นี้ ผู้ใช้ถูกโกงจาก 85 Lido ETH (ประมาณ $240,000) โดยใช้กลยุทธ์เหล่านี้เมื่อห้าวันก่อน
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 5 พฤษภาคม 2024
ในฐานะนักวิจัยที่ศึกษาการโจมตีด้วย Miner Extractable Value (MEV) ฉันได้ค้นพบว่าวิธีหนึ่งที่ผู้โจมตีอาจใช้เพื่อหลบเลี่ยงการตรวจจับคือการตรวจสอบความถูกต้องของที่อยู่ต้นทางอย่างพิถีพิถันก่อนที่จะดำเนินกิจกรรมที่เป็นอันตรายใดๆ เมื่อทำเช่นนั้น การกระทำของพวกเขาจะถูกพรางและทำให้กระบวนการระบุตัวตนของบอท MEV ซับซ้อนขึ้น
แม้จะมีความพยายามหลายอย่างในการแก้ไขปัญหานี้ แต่การวิ่งแนวหน้ายังคงเป็นความท้าทายที่ไม่มีใครเทียบได้
การป้องกันตนเองจากการโจมตีดังกล่าว
ในฐานะนักวิเคราะห์ความปลอดภัย ฉันขอแนะนำให้นักพัฒนาใช้การตรวจสอบสิทธิ์ที่อัปเดตในสัญญา Multicall เพื่อป้องกันเหตุการณ์ที่เกิดขึ้นในอนาคต ในขณะเดียวกัน ผู้ใช้ crypto ควรใช้ความระมัดระวังก่อนที่จะอนุมัติโทเค็นใด ๆ เพื่อใช้กับสัญญาเช่น Uniswap Multicall
ในฐานะนักลงทุน crypto ฉันตระหนักดีว่าสาระสำคัญของการอนุญาตของกระบวนการอนุมัติโทเค็น ERC ของ Ethereum ทำให้เป็นเป้าหมายที่เชิญชวนสำหรับแผนการฟิชชิ่งที่มีไหวพริบ เป็นการต่อสู้อย่างต่อเนื่องที่ต้องระมัดระวังและปกป้องการลงทุนของฉันจากการโจมตีที่เป็นอันตรายเหล่านี้
ในโลกของสกุลเงินดิจิทัลที่พัฒนาอย่างรวดเร็ว จำเป็นอย่างยิ่งที่จะต้องติดตามโปรโตคอลความปลอดภัยชั้นยอด เพื่อหลีกเลี่ยงหน่วยงานที่เป็นอันตราย และรักษาความเชื่อมั่นในระบบการเงินแบบกระจายอำนาจ รับทราบข้อมูลและระมัดระวังเพื่อป้องกันตัวคุณเอง!
Sorry. No data so far.
2024-05-06 11:22