在去年的一次重大网络安全事件中，一个加密货币“鲸鱼”成为复杂网络钓鱼攻击的受害者，导致其数字资产遭到未经授权的访问。攻击者纵受害者批准授予其加密资产访问权限的交易。
最近的进展揭示了2023年9月这次网络钓鱼操作的后果。被攻击的联合账户现在已将价值1000万美元的以太币转移到Tornado Cash，一个知名的加密货币混合服务。
在3月21日，区块链安全专家CertiK识别出一个与2400万美元黑客攻击相关的账户。该账户将3700 ETH转移至Tornado Cash。这些资金最初是在2023年9月6日发生的网络钓鱼事件中从数字资产大佬那里被盗取的。
最初的攻击针对的是使用 Rocket Pool 流动性质押服务的投资者，导致 2400 万美元的 ETH 质押损失。网络盗窃分两个阶段展开：最初，9,579 个 stETH 被拿走，随后从受害者持有的 4,851 个 rETH 中取出。
根据专注于欺诈检测的Scam Sniffer项目，受害者不小心授权了一笔"增加额度"的交易。此操作使攻击者能够批准代币供其自用。这种功能通过智能合约实现，允许第三方在获得同意的情况下支出他人拥有的ERC-20代币。
加密社区一直在就代币批准进行激烈讨论，许多人警告与为欺诈目的部署的恶意智能合约相关的潜在风险。
PeckShield，另一家区块链安全公司，报告称攻击者将被盗资产转换为13,785 ETH