Во вторник криптовалютный кит понес убытки: в результате фишинговой атаки была украдена стейблкоин DAI на сумму около 55,4 миллиона долларов.

По данным компании CertiK, занимающейся безопасностью блокчейнов, злоумышленник, вероятно, использовал фишинговый инструмент, известный как Inferno Drainer, чтобы получить доступ к внешней учетной записи кита (EOA).

Фишинговая атака Inferno Drainer

Об инциденте впервые сообщил сетевой сыщик ZachXBT в сообщении Telegram, где он рассказал о взломе, прежде чем CertiK подтвердил эту новость.

Inferno Drainers печально известны тем, что обманывают жертв, имитируя законные веб-сайты или электронные письма известных бирж криптовалют или протоколов децентрализованного финансирования (DeFi), что в конечном итоге ставит под угрозу их личную информацию.

Атака была нацелена на Maker Vault, обеспеченную долговую позицию, которая позволяет пользователям брать в долг стейблкоин Dai, привязанный к доллару США, путем внесения залога. CertiK объяснила, что злоумышленник воспользовался уязвимостью, чтобы получить контроль над Maker Vault кита через скомпрометированный EOA.

Затем хакер передал право собственности на DSProxy #166,776 жертвы, смарт-контракт, который позволяет пользователям выполнять несколько вызовов контракта в одной транзакции, на новый адрес, находящийся под их контролем.

Злоумышленник сменил адрес владельца протокола на свой кошелек после получения контроля и выпустил почти 56 миллионов монет в DAI, фактически опустошив хранилище своих средств.

Убытки в июле составили более 270 миллионов долларов

Этот инцидент является последним в серии громких взломов, нацеленных на криптопространство. Ранее на этой неделе ZachXBT сообщил об отдельном взломе, связанном с кражей 4064 биткойнов (BTC) на сумму примерно 238 миллионов долларов.

Украденные BTC были быстро перенесены на несколько платформ, включая Thorchain, Kucoin, ChangeNow, Railgun и Avalanche Bridge.

Хотя точный метод, использованный при ограблении, остается неясным, эксперты полагают, что могла иметь место комбинация фишинга, социальной инженерии и эксплуатации уязвимостей кошелька.

По данным CertiK, только в июле в результате различных взломов, эксплойтов и мошенничества в проектах Web3 было потеряно более 270 миллионов долларов. Эта цифра является вторым по величине ежемесячным убытком, зафиксированным в 2024 году: злоумышленники вернули лишь 7,8 миллиона долларов из украденных средств.

В отчете освещаются различные методы, используемые злоумышленниками, в том числе мошенничество с выходом, в результате которого убытки составили около 3 миллионов долларов, срочные кредиты с потерей примерно 265,8 миллиона долларов и другие эксплойты на общую сумму около 9,8 миллиона долларов.

Протоколы DeFi стали основной мишенью для киберпреступников, поскольку протокол агрегации и моста DEX LI.FI понес убытки в размере 10 миллионов долларов из-за нарушения безопасности в прошлом месяце.

Кроме того, хакерская атака на WazirX, в результате которой через скандальный сервис микширования Tornado Cash было передано более 230 миллионов долларов, привела к убыткам нескольких розничных инвесторов.

Источник