En MakerDAO regeringsdelegeret er blevet ofre for et sofistikeret phishing-angreb, hvilket har resulteret i tyveri af $11 millioner Aave Ethereum Maker (aEthMKR) og Pendle USDe tokens. Hændelsen blev markeret af Scam Sniffer i de tidlige timer den 23. juni 2024. Delegerets kompromis involverede underskrivelse af flere svigagtige signaturer, hvilket i sidste ende førte til uautoriseret overførsel af digitale aktiver.
Nøgleudnyttelse af MakerDAO Delegate
De kompromitterede aktiver blev hurtigt overført fra den delegeredes adresse, "0xfb94d3404c1d3d9d6f08f79e58041d5ea95accfa," til svindlerens adresse, "0x739772254924a57428272b mere end429b bekræftet i transaktionen 55 sekunder. Denne ledelsesdelegerede spillede en afgørende rolle i MakerDAO, en decentraliseret finansplatform (DeFi) med ansvar for vigtige beslutningsprocesser.
Governance-delegerede inden for MakerDAO er centrale og stemmer om forskellige forslag, der påvirker protokollens udvikling og drift. De deltager i afstemninger og direktionsafstemninger, der i sidste ende bestemmer implementeringen af nye foranstaltninger i Maker-protokollen. MakerDAO-tokenholdere og delegerede fremskridtsforslag fra indledende afstemninger til endelige direktionsafstemninger efterfulgt af en sikkerhedsventeperiode kendt som Governance Security Module (GSM) for at sikre stabilitet og forhindre pludselige ændringer.
Stigende trussel om phishing-svindel
Phishing-svindel har været stigende, og Cointelegraph rapporterede i december 2023, at svindlere i stigende grad anvender "godkendelses-phishing"-taktikker. Disse svindelnumre narrer brugere til at godkende transaktioner, der giver angribere adgang til deres tegnebøger, og derved sætter dem i stand til at stjæle penge. Chainalysis har bemærket, at sådanne metoder, ofte brugt af "svineslagter"-svindlere, bliver mere udbredte.
Phishing-svindel involverer typisk bedragere, der udgiver sig for at være troværdige enheder for at udtrække følsomme oplysninger fra ofre. I dette tilfælde blev ledelsesdelegerede bedraget til at underskrive flere phishing-signaturer, hvilket lettede aktivtyveriet.
En rapport fra Scam Sniffer tidligere i 2024 fremhævede, at phishing-svindel resulterede i tab af $300 millioner fra 320,000 brugere alene i 2023. En af de mest alvorlige hændelser, der er dokumenteret, involverede et enkelt offer, der mistede 24.05 millioner dollars på grund af forskellige phishing-teknikker, herunder tilladelse, tilladelse 2, godkendelse og forhøjelse af godtgørelsen.
Resumé
Denne hændelse understreger det kritiske behov for øgede sikkerhedsforanstaltninger og årvågenhed inden for DeFi-området, da phishing-taktik fortsætter med at udvikle sig og udgør betydelige risici for indehavere af digitale aktiver.