$3,047 millioner USDC tappet i angrep med falsk Request Finance-kontrakt på Safe

Et nylig phishing-angrep har ført til tap av 3,047 millioner USDC. Utnyttelsen rettet seg mot en Safe multisignatur-lommebok gjennom en falsk Request Finance-kontrakt. Etterforskere sier angriperne planla operasjonen nøye og gjennomførte den på en måte som nesten så autorisert ut. Offeret brukte en 2-av-4 Safe multisig-lommebok. Ifølge Scam Sniffer så transaksjonen ut til å bli behandlet gjennom Request Finance-appens grensesnitt. Men skjult i batch-forespørselen lå en godkjenning av en ondsinnet kontrakt.

Den falske kontraktadressen var nesten identisk med den ekte. Bare små forskjeller i midten av adressen skilte dem. Begge startet og sluttet med samme tegn, noe som gjorde det vanskelig å oppdage ved første øyekast. For å øke troverdigheten hadde angriperne til og med verifisert den falske kontrakten på Etherscan. Dette ekstra steget fikk den til å se autentisk ut for alle som sjekket den raskt. Så snart godkjenningen var gitt, tappet angriperne umiddelbart 3,047 millioner USDC. De stjålne midlene ble deretter vekslet til ETH og raskt sendt videre til Tornado Cash, noe som gjorde dem vanskelige å spore.

En nøye planlagt tidslinje

Tidslinjen for angrepet viser tydelig forberedelse. Tretten dager før tyveriet lanserte angriperne den falske Request Finance-kontrakten. I mellomtiden gjennomførte de flere «batchPayments»-transaksjoner for å få kontrakten til å virke aktiv og pålitelig. Da offeret til slutt interagerte med den, hadde kontrakten allerede en tilsynelatende normal historikk. Når offeret brukte Request Finance-appen, smuglet angriperne inn den skjulte godkjenningen i batch-transaksjonen. Så snart transaksjonen var signert, var angrepet fullført.

Respons fra Request Finance

Request Finance bekreftet hendelsen og kom med en advarsel til brukerne. Selskapet opplyste at en ondsinnet aktør hadde lansert en kopi av selskapets Batch Payment-kontrakt. Ifølge uttalelsen ble bare én kunde rammet. Sårbarheten er nå fikset, men den nøyaktige metoden for å injisere den ondsinnede godkjenningen er fortsatt uklar. Analytikere mener mulige angrepsvektorer kan inkludere en sårbarhet i appen, skadevare eller nettleserutvidelser som endrer transaksjoner, eller til og med et kompromittert frontend eller DNS-kapring. Andre former for kodeinjeksjon kan heller ikke utelukkes.

Sikkerhetsbekymringer fremhevet

Saken viser en voksende trend av svindel i kryptoindustrien. Angripere nøyer seg ikke lenger med enkle phishing-lenker eller åpenbare triks. I stedet lanserer de verifiserte kontrakter, etterligner ekte tjenester og skjuler ondsinnede handlinger i komplekse transaksjoner. Batch-transaksjoner, som egentlig skal gjøre betalinger enklere, kan samtidig skape muligheter for angripere. Fordi de samler flere handlinger, blir det vanskeligere for brukerne å gjennomgå hver enkelt godkjenning eller overføring. Denne uklarheten gjør det mulig for svindlere å snike inn falske operasjoner – uten at det oppdages før det er for sent.

Lærdom for miljøet

Eksperter understreker behovet for ekstrem aktsomhet ved bruk av multi-send eller batch-betalinger. Hver kontraktgodkjenning bør gjennomgås tegn for tegn for å unngå forvirring med lignende adresser. Selv en liten detalj som overses kan føre til store tap, slik vi ser i dette tilfellet. Sikkerhetsselskaper anbefaler også at brukere minimerer bruken av nettleserutvidelser og sjekker uverifiserte apper som er koblet til lommebøker.

Å holde programvare oppdatert, bruke hardware-lommebøker til godkjenninger og kryssjekke kontraktadresser via pålitelige kilder kan redusere risikoen for slike angrep. Hendelsen er en påminnelse om behovet for sterkere brukerbeskyttelse på plattformer. Bedre varslinger, automatisk flagging av lookalike-kontrakter og tydeligere innsyn i transaksjoner kan bidra til å forhindre lignende hendelser.

En kostbar påminnelse

Tapet på 3,047 millioner dollar er nok en påminnelse om de høye innsatsene i desentralisert finans. Safe og Request Finance er fortsatt populære verktøy, men angripere utnytter stadig oftere kompleksiteten deres. For brukerne er forsiktighet det eneste reelle forsvaret. I dette tilfellet baserte angriperne seg på subtilitet, forberedelse og en overbevisende forfalskning. Dessverre var det nok til å lure selv en multisignatur-løsning til å gi tilgang. Hendelsen viser at i krypto teller hvert klikk og hver godkjenning.