Phishing na panlilinlang, nagnakaw ng $3 milyon na USDC mula sa multi-signature wallet

• Nawalan ng $3 milyon ang isang investor dahil sa phishing attack
• Ang exploit ay gumamit ng nakatago at na-verify na malisyosong kontrata
• Kumpirmado ng Request Finance na may pekeng bersyon ng kontrata na ginagamit

Isang cryptocurrency investor ang nawalan ng mahigit $3 milyon sa stablecoins matapos mabiktima ng isang napaka-sopistikadong phishing attack na gumamit ng multisignature wallet. Ang insidente ay isiniwalat noong Setyembre 11 ng onchain researcher na si ZachXBT, na binanggit na ang wallet ng biktima ay nabawasan ng $3.047 milyon sa USDC.

Agad na kinonvert ng attacker ang mga pondo sa Ethereum at inilipat ang mga ito sa Tornado Cash, isang privacy protocol na madalas gamitin upang itago ang galaw ng mga ilegal na pondo.

Ayon kay Yu Xian, tagapagtatag ng SlowMist, ang na-kompromisong address ay isang 2-of-4 Safe multisignature. Nangyari ang pag-atake matapos payagan ng biktima ang dalawang magkasunod na transaksyon sa isang pekeng address na ginaya ang lehitimong address. Upang mapataas ang bisa ng scam, gumawa ang hacker ng isang malisyosong kontrata kung saan ang una at huling karakter ng address ay kapareho ng tama, kaya mahirap matukoy ang panlilinlang.

Pinaliwanag ni Xian na ginamit ng scam ang Safe Multi Send feature, tinatago ang malisyosong approval sa loob ng tila karaniwang authorization. "Mahirap matukoy ang abnormal na authorization na ito dahil hindi ito standard approval," aniya.

Tiningnan ko ang insidenteng pagnanakaw na ipinost ni @zachxbt, medyo interesante, ang ninakaw na address ay isang 2/4 Safe multisig address:
0xE7c15D929cdf8c283258daeBF04Fb2D9E403d139

Ang ninakaw na 3,047,700 USDC ay mula sa dalawang transaksyon na magkasunod:
3M USD
47,700 USDC

Nangyari ito dahil sa unauthorized authorization, ang USDC ng biktima… pic.twitter.com/KQPYxGvugP

— Cos(余弦)😶‍🌫️ (@evilcos) Setyembre 12, 2025

Ipinakita ng imbestigasyon ng Scam Sniffer na ang pekeng kontrata ay na-deploy halos dalawang linggo bago ang insidente, na-verify na sa Etherscan, at nilagyan ng "batch payment" functions upang magmukhang lehitimo. Sa araw ng pag-atake, naisagawa ang authorization sa pamamagitan ng Request Finance interface, na nagbigay-daan sa attacker na makuha ang mga pondo.

Bilang tugon, kinumpirma ng Request Finance na may malisyosong indibidwal na nag-deploy ng spoofed na bersyon ng kanilang payment contract. Binigyang-diin ng kumpanya na isang customer lamang ang naapektuhan at naayos na ang kahinaan.

🚨 Isang biktima ang nawalan ng $3.047M USDC kahapon sa pamamagitan ng isang sopistikadong pag-atake na kinasasangkutan ng pekeng Request Finance contract sa Safe wallet.

Pangunahing natuklasan:
• Ang 2/4 Safe multi-sig wallet ng biktima ay nagpapakita ng batch transactions sa pamamagitan ng Request Finance app interface
• Nakatago dito: approval sa malisyosong… pic.twitter.com/U9UNfYNZhv

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) Setyembre 12, 2025

Gayunpaman, nagbabala ang Scam Sniffer na ang mga katulad na phishing attack ay maaaring isagawa sa pamamagitan ng iba't ibang paraan, kabilang ang malware, na-kompromisong browser extensions, kahinaan sa application front-ends, o kahit DNS hijacking. Ang paggamit ng tila na-verify na mga kontrata at halos magkaparehong mga address ay nagpapakita kung paano pinapahusay ng mga attacker ang kanilang mga taktika upang makaiwas sa pansin ng mga cryptocurrency user.