Sáng ngày 22/01, một người dùng xấu số đã bị hack mất lượng lớn aEthWETH và aEthUNI trị giá 4,2 triệu USD sau khi xác thực nhiều giao dịch ERC-20 Permit.
Phát hiện bởi đơn vị điều tra Scam Sniffer vào sáng ngày 22/01, người dùng 0x17… 3487 đã mất aEthWETH và aEthUNI trị giá 4,2 triệu USD do bị tấn công mạo nhận (phishing attack).
Nạn nhân đã ký phê duyệt nhiều giao dịch ERC-20 Permit. Theo đó, kẻ xấu đã lạm dụng loại hợp đồng opcode CREATE2 để bỏ qua các cảnh báo bảo mật, tạo địa chỉ mới cho mỗi chữ ký và thành công trong việc điều hướng tiền nạn nhân.
Hồi tháng 8/2023, một trường hợp sử dụng hình thức này cũng được đơn vị bảo mật Slow Mist báo cáo, vụ hack đã dẫn đến 3 triệu USD crypto bị đánh cắp.
Scam Sniffer cảnh báo, người giao dịch cần hết sức cẩn trọng khi ký phê duyệt giao dịch, đặc biệt chú ý tới các cảnh báo từ ứng dụng ví Web3. Ngoài ra cũng trang bị cho mình kiến thức về các hình thức phishing, bao gồm phising chữ ký.
Theo báo cáo năm mới phát hành từ Scam Sniffer, người dùng trong năm 2023 đã mất gần 295 triệu USD từ việc bị tấn công giả mạo. Đây được xem hình thức scam được tin tặc sử dụng phổ biến nhất trong không gian crypto.