Nuevo exploit de phishing "sofisticado" drena 3 millones de dólares en USDC de una wallet multi-sig

Un inversionista de criptomonedas no identificado ha perdido más de $3 millones en un ataque de phishing altamente coordinado después de autorizar sin saberlo un contrato malicioso.

El 11 de septiembre, el investigador de blockchain ZachXBT fue el primero en señalar el incidente, revelando que la billetera de la víctima fue vaciada de $3.047 millones en USDC.

El atacante rápidamente intercambió las stablecoins por Ethereum y canalizó las ganancias a Tornado Cash, un protocolo de privacidad utilizado frecuentemente para ocultar el flujo de fondos robados.

Cómo ocurrió el exploit

Yu Xian, fundador de SlowMist, explicó que la dirección comprometida era una billetera multi-firma Safe 2-de-4.

Él explicó que la brecha se originó a partir de dos transacciones consecutivas en las que la víctima aprobó transferencias a una dirección que imitaba a su destinatario previsto.

El atacante diseñó el contrato fraudulento de modo que sus primeros y últimos caracteres coincidieran con el legítimo, dificultando su detección.

Xian añadió que el exploit aprovechó el mecanismo Safe Multi Send, disfrazando la aprobación anormal dentro de lo que parecía una autorización rutinaria.

Él escribió:

“Esta autorización anormal era difícil de detectar porque no era una aprobación estándar.”

Según Scam Sniffer, el atacante había preparado el terreno con mucha antelación. Desplegó un contrato falso pero verificado por Etherscan casi dos semanas antes, programándolo con múltiples funciones de “pago por lotes” para que pareciera legítimo.

El día del exploit, la aprobación maliciosa se ejecutó a través de la interfaz de la aplicación Request Finance, dando al atacante acceso a los fondos de la víctima.

En respuesta, Request Finance reconoció que un actor malicioso había desplegado una versión falsificada de su contrato Batch Payment. La empresa señaló que solo un cliente se vio afectado y enfatizó que la vulnerabilidad ya ha sido corregida.

Aun así, Scam Sniffer destacó preocupaciones más amplias sobre el incidente de phishing.

La firma de seguridad blockchain advirtió que exploits similares podrían originarse de varios vectores, incluyendo vulnerabilidades en aplicaciones, malware o extensiones de navegador que modifican transacciones, front-ends comprometidos o secuestro de DNS.

Aún más importante, el uso de contratos verificados y direcciones casi idénticas ilustra cómo los atacantes están refinando sus métodos para eludir la vigilancia de los usuarios.

La publicación New ‘sophisticated’ phishing exploit drains $3M in USDC from multi-sig wallet apareció primero en CryptoSlate.