Seorang penipu phishing tiba-tiba mengembalikan hampir $9.3 juta kepada mangsa setelah mencuri $24 juta daripada mereka dalam serangan phishing pada bulan September yang lalu.
Diketahui pertama kali oleh Scam Sniffer pada 13 Julai, penipu tersebut menggunakan stablecoin Dai (DAI) untuk mengembalikan dana melalui dua transaksi pada minggu lalu.
Pemindahan pertama melibatkan $5.23 juta yang dikembalikan pada 8 Julai, manakala $4.04 juta lagi dihantar pada 13 Julai pada pukul 12:06 petang UTC, menurut data Etherscan yang menunjukkan.
Ini berlaku 10 bulan selepas mangsa terjebak dalam penipuan phishing bernilai $24.2 juta pada 6 September 2023, dengan kehilangan 9,579 Lido Staked Ether (stETH) dan 4,850 Rocket Pool (rETH) tokens.
Mangsa membolehkan penyetujuan token kepada penipu dengan menandatangani transaksi "Increase Allowance", sebagaimana disebutkan dalam pos Scam Sniffer ketika kejadian tersebut.
Allowance adalah ciri token ERC-20 yang membolehkan pihak ketiga mempunyai hak untuk mengeluarkan token yang dimiliki oleh pemilik tersebut.
Platform data pasaran kripto CoinMarketCap dan pemain industri lain telah mengenal pasti kelemahan ini, dengan menekankan bahawa ia berpotensi membolehkan pembangun tanpa nama untuk melaksanakan kontrak pintar yang jahat untuk menipu pengguna.
Pulangan $9.3 juta baru-baru ini setara dengan pulangan dana sebanyak 38.4% pada harga 6 September, walaupun 14,429 staked-Ether pada masa ini bernilai $47.5 juta mengikut harga semasa.
Data Onchain menunjukkan bahawa Dai diterima melalui alamat yang dikenali sebagai Railgun Relay — perantara untuk protokol privasi — sebelum dihantar kepada mangsa.
Scam Sniffer menunjukkan kepada Cointelegraph mesej onchain penjenayah yang menghubungi mangsa melalui alamat dompet yang berbeza pada 6 Julai.
"Hai, saya adalah orang yang mengambil wang anda," katanya. "Saya ingin mengembalikan wang tersebut."
Data Etherscan menunjukkan bahawa alamat dompet penipu kini mempunyai sedikit lebih daripada $3 juta dalam dana selepas pemindahan $9 juta tersebut.
Hampir 99% daripada dana tersebut terdiri daripada token METAGALAXY LAND (MEGALAND) dari BNB Chain.
Berkaitan: Skim penipuan kripto baru mengosongkan dompet pengguna tanpa persetujuan transaksi
Penipu phishing mencuri hampir $300 juta daripada 324,000 mangsa pada tahun 2023, menurut Laporan Wallet Drainers Scam Sniffer 2023.
Pada tahun 2023, Inferno Drainer dan MS Drainer adalah dua penipu phishing yang paling terkenal, dengan mencuri $81 juta dan $59 juta masing-masing.
Pink Drainer menjadi salah satu penipu phishing yang paling terkenal tahun ini, dengan mencuri lebih daripada $85 juta sebelum ditutup pada bulan Mei.
Majalah: Kekurangan reka bentuk ERC-20 Ethereum adalah kawan terbaik penipu kripto