3,047 млн ​​долларов США украдены в результате атаки на поддельный запрос о финансировании контрактов на сейф

Фишинговая атака привела к потере $3,047 млн в USDC. Эксплойт был направлен на мультиподпись Safe с использованием поддельного контракта Request Finance. По данным расследования, злоумышленники тщательно продумали схему. Их действия выглядели почти как легитимные. Жертва пользовалась кошельком Safe с мультиподписью 2-из-4. Согласно данным Scam Sniffer, транзакция выглядела как обработанная через интерфейс приложения Request Finance. Но внутри пакетного запроса было скрыто одобрение вредоносного контракта.

Адрес поддельного контракта был почти идентичен настоящему, различия заключались лишь в нескольких символах посередине. Начало и конец совпадали, что делало подмену трудноразличимой. Для правдоподобности атакующие даже верифицировали контракт на Etherscan. Этот шаг усилил доверие к нему при поверхностной проверке. Как только было выдано одобрение, злоумышленники вывели $3,047 млн USDC. Средства конвертировали в ETH и быстро провели через Tornado Cash, что усложнило отслеживание.

Тщательно спланированная схема

Хронология атаки указывает на подготовку. За 13 дней до кражи злоумышленники развернули поддельный контракт Request Finance. Затем они провели несколько транзакций batchPayments, чтобы создать видимость активности. К моменту взаимодействия жертвы контракт выглядел как нормально работающий. Когда пользователь воспользовался приложением Request Finance, атакующие внедрили скрытое одобрение в пакетную транзакцию. Подписание стало финальным шагом для завершения эксплойта.

Реакция Request Finance

Request Finance подтвердила инцидент и выпустила предупреждение. Компания заявила, что злоумышленник развернул поддельную версию контракта Batch Payment. По их данным, пострадал только один клиент. Уязвимость уже устранена, однако точный метод внедрения вредоносного одобрения не выяснен. Аналитики считают, что векторы атаки могли включать уязвимость в приложении, вредоносные расширения браузера, модифицирующие транзакции, скомпрометированный фронтенд или перехват DNS. Другие способы внедрения кода также исключать нельзя.

Усиление угроз безопасности

Случай демонстрирует рост сложности мошенничества в криптоиндустрии. Атакующие больше не ограничиваются простыми фишинговыми ссылками. Они верифицируют контракты, имитируют реальные сервисы и прячут вредоносные действия внутри сложных транзакций. Пакетные переводы, призванные упростить расчёты, создают дополнительный риск. Из-за группировки действий пользователям сложнее проверить каждое одобрение или перевод. Это позволяет злоумышленникам незаметно внедрять мошеннические операции.

Уроки для сообщества

Эксперты призывают к особой осторожности при использовании функций multi-send и batch payments. Каждое одобрение контракта нужно проверять посимвольно, чтобы исключить подмену адреса. Пропуск даже одной детали может привести к серьёзным потерям. Специалисты также рекомендуют минимизировать использование расширений браузера и проверять непроверенные приложения, подключенные к кошельку.

Обновление программного обеспечения, использование аппаратных кошельков для подтверждений и перекрёстная проверка адресов контрактов через надёжные источники снижают риск подобных атак. Инцидент показывает необходимость усиления защиты пользователей: автоматическое выявление поддельных контрактов, расширенные предупреждения и лучшая прозрачность транзакций могут помочь предотвратить повторение подобных случаев.

Дорогой урок

Потеря $3,047 млн — очередное напоминание о высоких рисках в децентрализованных финансах. Несмотря на популярность Safe и Request Finance, их сложность всё чаще используется злоумышленниками. Для пользователей главным инструментом остаётся осторожность. В данном случае атакующие сделали ставку на незаметность, подготовку и убедительную подделку. Этого оказалось достаточно, чтобы обмануть даже мультиподписной кошелёк. Инцидент наглядно показывает: в криптовалюте значение имеет каждый клик и каждое одобрение.