Дэлегат кіравання MakerDAO стаў ахвярай складанай фішынгавай атакі, якая прывяла да крадзяжу токенаў Aave Ethereum Maker (aEthMKR) і Pendle USDe на суму 11 мільёнаў долараў. Інцыдэнт быў адзначаны Scam Sniffer у першыя гадзіны 23 чэрвеня 2024 г. Кампраміс дэлегата прадугледжваў падпісанне некалькіх фальшывых подпісаў, што ў выніку прывяло да несанкцыянаванай перадачы лічбавых актываў.
Ключавая эксплуатацыя MakerDAO Delegate
Скампраметаваныя актывы былі хутка перададзены з адраса дэлегата «0xfb94d3404c1d3d9d6f08f79e58041d5ea95accfa» на адрас ашуканца «0x739772254924a57428272f429bd55f30eb36bb96» з пацвярджэннем транзакцыі усяго 11 секунд. Гэты прадстаўнік кіравання адыграў вырашальную ролю ў MakerDAO, платформе дэцэнтралізаваных фінансаў (DeFi), якая адказвае за важныя працэсы прыняцця рашэнняў.
Дэлегаты па кіраванні ў MakerDAO з'яўляюцца ключавымі, галасуюць па розных прапановах, якія ўплываюць на распрацоўку і працу пратакола. Яны ўдзельнічаюць у апытаннях і галасаванні кіраўнікоў, якія ў канчатковым рахунку вырашаюць укараненне новых мер у пратакол Maker. Як правіла, уладальнікі токенаў MakerDAO і дэлегаты прасоўваюць прапановы ад першапачатковага галасавання да канчатковага галасавання кіраўнікоў, пасля чаго варта перыяд чакання бяспекі, вядомы як модуль бяспекі кіравання (GSM), каб забяспечыць стабільнасць і прадухіліць рэзкія змены.
Расце пагроза фішынгу
Фішынг-махлярства расце, і ў снежні 2023 г. Cointelegraph паведаміў, што ашуканцы ўсё часцей выкарыстоўваюць тактыку «зацвярджэння фішынгу». Гэтыя ашуканцы прымушаюць карыстальнікаў санкцыянаваць транзакцыі, якія даюць зламыснікам доступ да іх кашалькоў, што дазваляе ім красці сродкі. Кампанія Chainalysis адзначыла, што такія метады, якія часта выкарыстоўваюцца ашуканцамі, якія «разбіваюць свіней», становяцца ўсё больш распаўсюджанымі.
Фішынгавыя махлярствы звычайна ўключаюць падманшчыкаў, якія выдаюць сябе за надзейных суб'ектаў, каб атрымаць канфідэнцыйную інфармацыю ад ахвяр. У гэтым выпадку дэлегат кіравання быў падманам прымусіў падпісаць некалькі фішынгавых подпісаў, што спрыяла крадзяжу актываў.
Раней у 2024 годзе ў справаздачы Scam Sniffer падкрэслівалася, што толькі ў 300 годзе 320,000 2023 карыстальнікаў з-за фішынгу страцілі 24.05 мільёнаў долараў. Адзін з самых сур'ёзных задакументаваных інцыдэнтаў звязаны з тым, што адна ахвяра страціла 2 мільёна долараў з-за розных метадаў фішынгу, у тым ліку дазволу, дазволу XNUMX, зацвярджэння і павелічэння дапамогі.
Рэзюмэ
Гэты інцыдэнт падкрэслівае крытычную неабходнасць узмацнення мер бяспекі і пільнасці ў прасторы DeFi, паколькі тактыка фішынгу працягвае развівацца і стварае значныя рызыкі для ўладальнікаў лічбавых актываў.