Kryptovaluutta-huijaus ja sen seuraukset
Kryptokäyttäjä on menettänyt lähes 1 miljoonaa dollaria hyväksyttyään haitallisen Ethereum-siirron, joka antoi huijareille pääsyn tyhjentää lähes koko lompakon saldon. Tämä tapaus lisää tänä vuonna kirjattuja satojen miljoonien dollarien phishing-tappioita.
Huijaus ja sen toteutus
Blockchain-turvapalvelu Scam Snifferin mukaan uhri menetti 999,999 Tetheriä (USDT) Ethereum-phishing-token-hyväksyntähuijauksessa, kun hän allekirjoitti haitallisen hyväksyntäpyynnön. On-chain-tiedot osoittavat, että hyökkääjät yrittivät ensin nostaa pyöristetyn 1 miljoonan dollarin summan multicall-siirtojen kautta, mutta siirto epäonnistui, koska lompakossa oli hieman vähemmän kuin tuo summa. Sekunteja myöhemmin hyökkääjät säätivät skriptiään ja onnistuivat nostamaan lompakon tarkan jäljellä olevan saldon.
”Skripti laski ja nosti tarkan jäljellä olevan saldon,” Scam Sniffer totesi.
Hyökkäysten yleisyys
Turvallisuustutkijat sanovat, että hyväksyntähuijaukset ovat edelleen yksi yleisimmistä sosiaalisen manipuloinnin hyökkäyksistä kryptovaluutassa, sillä käyttäjät antavat tietämättään rajattomat kulutusluvat uskoen hyväksyvänsä harmittoman siirron. Blockchain-turvayrityksen CertiKin mukaan phishing-huijaukset aiheuttivat 723 miljoonan dollarin tappiot 248 tapauksessa vuonna 2025. Näissä hyökkäyksissä uhrit huijataan yleensä allekirjoittamaan haitallisia token-hyväksyntöjä, mikä mahdollistaa hyökkääjien siirtää varoja heidän lompakoistaan ilman toista allekirjoitusta.
Viimeisimmät tapaukset
Viimeisin tapaus seuraa toista suurta lompakkokompromissia, joka raportoitiin aiemmin tässä kuussa. Siinä tapauksessa kryptosijoittaja menetti noin 1,65 miljoonaa dollaria yhdistämällä väärään pörssiin ja allekirjoittamalla haitallisen älysopimuksen.
”Hyväksyntä antoi hyökkääjille rajattoman pääsyn, mikä mahdollisti automaattisen tyhjentäjän tyhjentää varat,” tutkija Ryan Coleman sanoi perjantaina.
Lompakon haltija menetti 1,65 miljoonaa dollaria yhdistämällä väärään pörssiin ja allekirjoittamalla haitallisen sopimuksen. Hyväksyntä antoi hyökkääjille rajattoman pääsyn, mikä mahdollisti automaattisen tyhjentäjän tyhjentää varat. Tarkista aina sopimukset ja peruuta käyttämättömät token-hyväksynnät.
Riski ja varotoimet
Viimeisin phishing-tappio tulee vain päiviä sen jälkeen, kun toinen korkean profiilin on-chain-tapahtuma korosti erilaista riskiä kryptokäyttäjille. Aiempana viikkona kauppias menetti lähes 2 miljoonaa dollaria, kun hajautettu pörssi ohjasi Ether-vaihdon matalan likviditeetin altaan kautta, mikä mahdollisti saman lohkon välimyyntikaupan, joka purki suurimman osan siirron arvosta. GoPlus Securityn mukaan tappio johtui siirron ohjauksesta eikä phishingistä, mikä sai tutkijat kehottamaan käyttäjiä tarkistamaan toteutustietopolkuja huolellisesti ennen on-chain-siirtojen vahvistamista.
Scam Sniffer neuvoi käyttäjiä tarkistamaan huolellisesti jokaisen allekirjoituspyynnön, välttämään kiireisiä hyväksyntöjä ja käyttämään huijausten tunnistustyökaluja tai selainlaajennuksia ennen lompakkosiirtojen allekirjoittamista.