Un delegat de guvernare MakerDAO a căzut pradă unui atac sofisticat de phishing, care a dus la furtul de jetoane Aave Ethereum Maker (aEthMKR) și Pendle USDe în valoare de 11 milioane USD. Incidentul a fost semnalat de Sniffer înșelătorie în primele ore ale zilei de 23 iunie 2024. Compromisul delegatului a implicat semnarea mai multor semnături frauduloase, ceea ce a dus în cele din urmă la transferul neautorizat de active digitale.
Exploatarea cheie a delegatului MakerDAO
Activele compromise au fost transferate rapid de la adresa delegatului, „0xfb94d3404c1d3d9d6f08f79e58041d5ea95accfa,” la adresa escrocului, „0x739772254924a57428272f, confirmat cu mine aproximativ 429 secunde. Acest delegat de guvernare a jucat un rol crucial în MakerDAO, o platformă de finanțare descentralizată (DeFi) responsabilă de procese semnificative de luare a deciziilor.
Delegații de guvernare din cadrul MakerDAO sunt esențiali, votând pentru diverse propuneri care influențează dezvoltarea și operațiunile protocolului. Ei participă la sondaje și la voturile executive care decid în cele din urmă implementarea de noi măsuri în protocolul Maker. De obicei, deținătorii și delegații de token-uri MakerDAO propuneri de progres de la sondajele inițiale până la voturile finale ale executivului, urmate de o perioadă de așteptare de securitate cunoscută sub numele de Modulul de securitate al guvernării (GSM) pentru a asigura stabilitatea și a preveni schimbările bruște.
Amenințarea în creștere a înșelătoriilor de tip phishing
Escrocherii de tip phishing au fost în creștere, Cointelegraph raportând în decembrie 2023 că escrocii folosesc din ce în ce mai mult tactici de „phishing de aprobare”. Aceste escrocherii îi păcălesc pe utilizatori să autorizeze tranzacții care le oferă atacatorilor acces la portofelele lor, permițându-le astfel să fure fonduri. Chainalysis a remarcat că astfel de metode, adesea utilizate de escrocii de „măcelărire a porcilor”, devin din ce în ce mai răspândite.
Înșelătoriile de tip phishing implică de obicei înșelători care se prezintă drept entități de încredere pentru a extrage informații sensibile de la victime. În acest caz, delegatul de guvernare a fost înșelat să semneze mai multe semnături de phishing, ceea ce a facilitat furtul de bunuri.
Un raport al Scam Sniffer la începutul anului 2024 a evidențiat că înșelăciunile de tip phishing au dus la pierderi de 300 de milioane de dolari de la 320,000 de utilizatori numai în 2023. Unul dintre cele mai grave incidente documentate a implicat o singură victimă care a pierdut 24.05 milioane USD din cauza diferitelor tehnici de phishing, inclusiv permisul, permisul 2, aprobarea și creșterea alocației.
Rezumat
Acest incident subliniază nevoia critică de măsuri de securitate sporite și vigilență în spațiul DeFi, deoarece tacticile de phishing continuă să evolueze și prezintă riscuri semnificative pentru deținătorii de active digitale.