Nuovo exploit di phishing "sofisticato" svuota 3 milioni di dollari in USDC da un wallet multi-sig

Un investitore crypto non identificato ha perso oltre 3 milioni di dollari in un attacco di phishing altamente coordinato dopo aver inconsapevolmente autorizzato un contratto malevolo.

L'11 settembre, l'investigatore blockchain ZachXBT ha segnalato per primo l'incidente, rivelando che il wallet della vittima è stato svuotato di 3,047 milioni di USDC.

L'attaccante ha rapidamente convertito le stablecoin in Ethereum e ha trasferito i proventi su Tornado Cash, un protocollo di privacy spesso utilizzato per oscurare il flusso di fondi rubati.

Come si è verificato l'exploit

Yu Xian, fondatore di SlowMist, ha spiegato che l'indirizzo compromesso era un wallet multi-firma Safe 2-of-4.

Ha spiegato che la violazione ha avuto origine da due transazioni consecutive in cui la vittima ha approvato trasferimenti verso un indirizzo che imitava quello del destinatario previsto.

L'attaccante ha creato il contratto fraudolento in modo che il primo e l'ultimo carattere fossero identici a quelli legittimi, rendendo difficile la rilevazione.

Xian ha aggiunto che l'exploit ha sfruttato il meccanismo Safe Multi Send, mascherando l'approvazione anomala all'interno di quella che sembrava un'autorizzazione di routine.

Ha scritto:

“Questa autorizzazione anomala era difficile da rilevare perché non era una normale approvazione.”

Secondo Scam Sniffer, l'attaccante aveva preparato il terreno con largo anticipo. Aveva distribuito un contratto falso ma verificato su Etherscan quasi due settimane prima, programmato con diverse funzioni di “pagamento batch” per sembrare legittimo.

Il giorno dell'exploit, l'approvazione malevola è stata eseguita tramite l'interfaccia dell'app Request Finance, dando all'attaccante accesso ai fondi della vittima.

In risposta, Request Finance ha riconosciuto che un attore malevolo aveva distribuito una versione contraffatta del suo contratto Batch Payment. L'azienda ha osservato che solo un cliente è stato colpito e ha sottolineato che la vulnerabilità è stata successivamente corretta.

Tuttavia, Scam Sniffer ha evidenziato preoccupazioni più ampie riguardo all'incidente di phishing.

La società di sicurezza blockchain ha avvertito che exploit simili potrebbero derivare da diversi vettori, tra cui vulnerabilità delle app, malware o estensioni del browser che modificano le transazioni, front-end compromessi o hijacking DNS.

Ancora più importante, l'uso di contratti verificati e indirizzi quasi identici illustra come gli attaccanti stiano affinando i loro metodi per bypassare il controllo degli utenti.

L'articolo New ‘sophisticated’ phishing exploit drains $3M in USDC from multi-sig wallet è apparso per la prima volta su CryptoSlate.