Phishing-Angriff stiehlt 3 Millionen USDC aus Multi-Signatur-Wallet

• Investor verliert 3 Millionen Dollar durch Phishing-Angriff
• Exploit nutzte getarnten und verifizierten bösartigen Vertrag
• Request Finance bestätigt Verwendung einer gefälschten Version des Vertrags

Ein Kryptowährungsinvestor hat über 3 Millionen Dollar in Stablecoins verloren, nachdem er Opfer eines hochentwickelten Phishing-Angriffs wurde, der eine Multisignatur-Wallet ausnutzte. Der Fall wurde am 11. September von dem Onchain-Forscher ZachXBT aufgedeckt, der feststellte, dass die Wallet des Opfers um 3,047 Millionen USDC geleert wurde.

Der Angreifer wandelte die Gelder schnell in Ethereum um und leitete sie an Tornado Cash weiter, ein Privacy-Protokoll, das häufig verwendet wird, um die Bewegung illegaler Gelder zu verschleiern.

Laut Yu Xian, dem Gründer von SlowMist, handelte es sich bei der kompromittierten Adresse um eine 2-von-4 Safe Multisignatur. Der Angriff erfolgte, nachdem das Opfer zwei aufeinanderfolgende Transaktionen an eine betrügerische Adresse autorisiert hatte, die die legitime Adresse nachahmte. Um die Effektivität des Betrugs zu erhöhen, entwickelte der Hacker einen bösartigen Vertrag, bei dem das erste und letzte Zeichen der Adresse mit der korrekten Adresse übereinstimmten, was den Betrug schwer erkennbar machte.

Xian erklärte, dass der Betrug die Safe Multi Send-Funktion nutzte und die bösartige Genehmigung in einer scheinbar routinemäßigen Autorisierung tarnte. "Diese ungewöhnliche Autorisierung war schwer zu erkennen, da sie keine Standard-Genehmigung war", sagte er.

Habe mir den von @zachxbt geposteten Diebstahlfall angesehen, ziemlich interessant, die gestohlene Adresse ist eine 2/4 Safe Multisig-Adresse:
0xE7c15D929cdf8c283258daeBF04Fb2D9E403d139

Gestohlen wurden 3.047.700 USDC in diesen beiden Transaktionen, direkt hintereinander:
3M USD
47.700 USDC

Es handelt sich um einen genehmigten Diebstahl, das USDC des Opfers… pic.twitter.com/KQPYxGvugP

— Cos(余弦)😶‍🌫️ (@evilcos) 12. September 2025

Die Untersuchung von Scam Sniffer ergab, dass der gefälschte Vertrag bereits fast zwei Wochen zuvor bereitgestellt, auf Etherscan verifiziert und mit "Batch Payment"-Funktionen ausgestattet war, um legitim zu erscheinen. Am Tag des Angriffs wurde die Autorisierung über die Request Finance-Oberfläche ausgeführt, wodurch der Angreifer Zugriff auf die Gelder erhielt.

Als Reaktion bestätigte Request Finance, dass ein böswilliger Akteur eine gefälschte Version seines Zahlungsvertrags bereitgestellt hatte. Das Unternehmen betonte, dass nur ein Kunde betroffen war und die Schwachstelle inzwischen behoben wurde.

🚨 Ein Opfer hat gestern 3,047 Millionen USDC durch einen ausgeklügelten Angriff verloren, bei dem ein gefälschter Request Finance-Vertrag auf einer Safe Wallet verwendet wurde.

Wichtige Erkenntnisse:
• Die 2/4 Safe Multi-Sig Wallet des Opfers zeigt Batch-Transaktionen über die Request Finance App-Oberfläche
• Versteckt darin: Genehmigung für bösartigen… pic.twitter.com/U9UNfYNZhv

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 12. September 2025

Dennoch warnte Scam Sniffer, dass ähnliche Phishing-Angriffe über eine Vielzahl von Vektoren orchestriert werden können, darunter Malware, kompromittierte Browser-Erweiterungen, Schwachstellen in Anwendungs-Frontends oder sogar DNS-Hijacking. Die Verwendung scheinbar verifizierter Verträge und nahezu identischer Adressen zeigt, wie Angreifer ihre Taktiken verfeinern, um die Aufmerksamkeit von Kryptowährungsnutzern zu umgehen.