$3.047M USDC 在假請求金融合約攻擊安全中被抽走

最近的一次網絡釣魚攻擊導致損失了304.7萬美元USDC。該漏洞針對的是一個Safe多重籤名錢包，同時使用了一個假冒的Request Finance合約。調查人員表示，攻擊者仔細策劃了該方案。他們以看似授權的方式執行了這一攻擊。受害者使用的是一個2-of-4 Safe多重籤名錢包。根據Scam Sniffer的說法，交易似乎是通過Request Finance應用界面處理的。但在批量請求中隱藏着對惡意合約的批準。

假合同地址幾乎與合法地址相同。中間字符僅有微小差異。兩個地址都以相同字符開頭和結尾。這使得一眼難以察覺。爲了增加可信度，攻擊者甚至在Etherscan上驗證了惡意合同。這一步驟使得任何隨意查看的人都覺得它是正宗的。一旦獲得批準，攻擊者立即轉走了304.7萬美元USDC。被盜資金隨後被兌換爲ETH。然後，它迅速轉入Tornado Cash，難以追蹤。

一個精心規劃的時間表

攻擊的時間線顯示出明顯的準備。在盜竊發生前的十三天，攻擊者部署了假冒的Request Finance合約。與此同時，他們進行了多次“batchPayments”交易，以使合約看起來活躍且可信。當受害者與之互動時，合約似乎有正常的使用歷史。當受害者使用Request Finance應用時，攻擊者將隱藏的批準悄悄加入了批量交易。一旦交易被簽署，漏洞便完成了。

Request Finance 的響應

Request Finance 認可了此次事件並發布了一份聲明，警告用戶。該公司確認，一名惡意行爲者部署了其批量支付合同的仿冒版本。根據聲明，只有一位客戶受到影響。該漏洞已被修復。但用於注入惡意批準的確切方法仍不清楚。分析師認爲，可能的攻擊向量可能包括應用程序本身的漏洞。此外，惡意軟件或瀏覽器擴展程序修改交易，甚至是被攻擊的前端或 DNS 劫持。其他形式的代碼注入也不能被排除。

安全問題突出

該案例顯示了加密行業詐騙行爲日益增長的趨勢。攻擊者不再依賴基本的網絡釣魚連結或明顯的伎倆。相反，他們部署經過驗證的合約，模仿真實服務，並在復雜交易中隱藏惡意行爲。批量交易旨在簡化支付，但也爲攻擊者創造了機會。因爲它們將多個操作歸爲一組，使得用戶更難逐一審核每個批準或轉帳。這種模糊性使得攻擊者能夠悄然插入欺詐操作，直到爲時已晚時才被發現。

社區的教訓

專家強調在使用多重發送時需要極其謹慎，甚至在使用批量支付功能時也是如此。每個合約批準都應該逐字審查，以避免與類似地址混淆。即使是一個被忽視的細節也可能導致重大損失，正如在這個案例中所看到的。安全公司還建議用戶盡量減少使用瀏覽器擴展。他們還可以檢查與錢包連接的未驗證應用程序。

保持軟件更新，使用硬體錢包進行授權，並通過可信來源交叉檢查合約地址。這些可以降低此類 exploits 的風險。此次事件提醒我們加強平台用戶保護。增強警告、自動標記類似合約和改善交易可見性可以幫助防止類似攻擊。

一次代價高昂的提醒

304.7萬美元的損失再次提醒我們去中心化金融中的高風險。雖然Safe和Request Finance仍然是流行的工具，但攻擊者越來越多地利用它們的復雜性。對於用戶而言，謹慎是唯一真正的防御。在這種情況下，攻擊者依賴於微妙、準備和一個令人信服的假象。不幸的是，這足以欺騙甚至多重籤名設置，獲得訪問權限。此事件表明，在加密領域，每一次點擊和每一次批準都至關重要。