Unleash Protocol วันอังคารเปิดเผยความเสียหายจากการแฮ็กจำนวน 1,337 ETH มูลค่า 4 ล้านดอลลาร์สหรัฐ Peckshield และ CertiK ติดตามแสดงให้เห็นว่าแฮ็กเกอร์ใช้ Tornado Cash ล้างเงินแล้วส่ง ETH จำนวนหลายรายการไปยังบริการผสมเหรียญ ผู้โจมตีได้รับสิทธิ์ควบคุมระบบการบริหารแบบหลายลายเซ็นโดยไม่ได้รับอนุญาต อาจดำเนินการอัปเกรดสัญญาโดยไม่ได้รับอนุญาตผ่านวิศวกรรมสังคม เพื่อข้ามการตรวจสอบและถอนเงิน
บันทึกการติดตามการล้างเงินด้วย Tornado Cash
จากข้อมูลบนเชนและรายงานจากบริษัทด้านความปลอดภัย แฮ็กเกอร์พยายามใช้ Tornado Cash บน Ethereum เพื่อทำการล้างเงิน Tornado Cash เป็นบริการผสมเหรียญคริปโตเคอเรนซีที่ผสมเงินทุนของผู้ใช้หลายรายเข้าด้วยกัน เพื่อหยุดการเชื่อมโยงแหล่งที่มาของเงินและปลายทาง ทำให้เจ้าหน้าที่บังคับใช้กฎหมายตามรอยได้ยาก
Peckshield ระบุว่า แฮ็กเกอร์ดูเหมือนจะส่ง ETH 100 จำนวนมากไปยังผู้ให้บริการผสมเหรียญนี้ กลยุทธ์การส่งเป็นชุดนี้เป็นเทคนิคการล้างเงินแบบดั้งเดิม เพราะการโอนเงินจำนวนมากในครั้งเดียวจะง่ายต่อการถูกตรวจจับ การแยก ETH 1,337 ออกเป็น 13 ถึง 14 รายการที่ละ 100 ETH โดยเว้นช่วงเวลาระหว่างแต่ละรายการ ช่วยลดความเสี่ยงในการถูกตรวจจับทันที
CertiK เริ่มทำเครื่องหมาย Wrapped ETH และ IP Token ที่น่าสงสัย ซึ่งถูกส่งไปยังบัญชีภายนอกที่ดูเหมือนจะตั้งค่าด้วย SafeProxyFactory ซึ่งเป็นโรงงานสัญญาอัจฉริยะของ Gnosis Safe (ปัจจุบันคือ Safe) ซึ่งใช้สร้างกระเป๋าเงินหลายลายเซ็น แฮ็กเกอร์ใช้เครื่องมือนี้สร้างกระเป๋าชั่วคราวเพื่อรับเงินที่ได้มา แสดงให้เห็นว่ามีความเข้าใจเชิงลึกในระบบนิเวศ Ethereum
สินทรัพย์ที่ได้รับผลกระทบรวมถึง WIP, USDC, WETH, stIP และ vIP ซึ่งส่วนใหญ่ถูกสะพานไปยัง Ethereum และส่งไปยัง Tornado Cash กระบวนการสะพานนี้เองก็เพิ่มความยากในการติดตาม เนื่องจากทรัพย์สินจะผ่านสัญญาหลายตัวและที่อยู่ในระหว่างการข้ามเชน การโอนแต่ละครั้งจะทำให้เส้นทางการติดตามเบาบางลง เมื่อเข้าสู่ Tornado Cash เงินจะถูกผสมกับเงินฝากของผู้ใช้รายอื่น สร้างเป็น “กล่องดำ” ที่เงินปลายทางไม่สามารถเชื่อมโยงกับเงินเข้าได้
น่าสังเกตว่า Tornado Cash ตั้งแต่ถูกคว่ำบาติโดยกระทรวงการคลังสหรัฐในปี 2022 การใช้บริการนี้เองก็ผิดกฎหมาย แต่การคว่ำบาตรไม่ได้หยุดการดำเนินงานทั้งหมด เนื่องจาก Tornado Cash เป็นโปรโตคอลแบบกระจายศูนย์บนสมาร์ทคอนแทรกต์ จึงไม่สามารถปิดได้เหมือนบริการศูนย์กลาง แฮ็กเกอร์เต็มใจเสี่ยงกฎหมายเพื่อใช้ Tornado Cash แสดงให้เห็นว่ามีความระมัดระวังในการติดตามเทคนิค
วิธีการโจมตีระบบการบริหารแบบหลายลายเซ็น
เช้าวันอังคารที่ผ่านมา Unleash เปิดเผยช่องโหว่ด้านความปลอดภัย โครงการหยุดดำเนินการชั่วคราวและเริ่มวิเคราะห์หลักฐานการโจมตี การโจมตีดูเหมือนมาจากการทำลายระบบการลงนามหลายลายเซ็น Unleash ทวีตว่า “การสอบสวนเบื้องต้นของเราชี้ให้เห็นว่า บัญชีภายนอกที่ครอบครองโดย Unleash ได้รับสิทธิ์ควบคุมการบริหารผ่านกลไกการบริหารแบบหลายลายเซ็น และดำเนินการอัปเกรดสัญญาโดยไม่ได้รับอนุญาต”
พูดอีกนัยหนึ่งคือ แฮ็กเกอร์ไม่ได้รับอนุญาตให้ควบคุมระบบการบริหารของ Unleash Protocol โดยตรง อาจเป็นไปได้ว่าผ่านการหลอกลวงทางสังคมหรือช่องโหว่ด้านความปลอดภัยอื่น ๆ ทำให้สามารถดำเนินการอัปเกรดที่ข้ามการตรวจสอบและดึงเงินของผู้ใช้จากสัญญา การโจมตีแบบนี้ใน DeFi ไม่ใช่เรื่องแปลก แต่ความสำเร็จในการฝ่าฟันกลไกหลายลายเซ็นยังเป็นเรื่องที่น่ากังวล
กลไกการลงนามหลายลายเซ็น (Multi-Signature Wallet) เป็นกลไกปกป้องสินทรัพย์ใน DeFi ที่นิยมที่สุด ต้องการให้เจ้าของกุญแจหลายคนร่วมลงนามเพื่อดำเนินธุรกรรม โดยในทางทฤษฎี แม้กุญแจเดียวจะถูกขโมย ก็ยังไม่สามารถโจรกรรมเงินได้ อย่างไรก็ตาม การโจมตีครั้งนี้แสดงให้เห็นว่ากลไกหลายลายเซ็นก็ไม่ปลอดภัยสมบูรณ์
สามความเป็นไปได้ที่ทำให้กลไกหลายลายเซ็นล้มเหลว
การโจมตีทางสังคม: แฮ็กเกอร์ใช้เมลฟิชชิงหรือข้อความปลอมหลอกให้ผู้ลงนามเปิดเผยกุญแจส่วนตัว
บุคคลในองค์กรทำผิด: ผู้ถือกุญแจหลายคนในองค์กรสมรู้ร่วมคิดหรือถูกจ้างวานให้ร่วมมือกับแฮ็กเกอร์
ช่องโหว่ในสัญญา: สัญญาแบบหลายลายเซ็นมีบั๊กในโค้ดอนุญาตให้แฮ็กเกอร์ข้ามข้อกำหนดการลงนาม
คำแถลงของ Unleash เน้นว่า “บัญชีภายนอกที่ครอบครองโดย” ได้รับสิทธิ์ควบคุม ซึ่งบ่งชี้ว่านี่อาจไม่ใช่ความผิดของบุคคลในองค์กร แต่เป็นการโจมตีจากภายนอกที่ใช้เทคนิคหรือกลยุทธ์ทางสังคมเพื่อให้ได้สิทธิ์ลงนามเพียงพอ การอัปเกรดนี้ทำให้สามารถดึงเงินออกโดยไม่ได้รับอนุญาตจากทีมงานของ Unleash และเกิดขึ้นนอกเหนือจากกระบวนการบริหารและการดำเนินงานตามปกติ แสดงให้เห็นว่าแฮ็กเกอร์ได้ควบคุมสิทธิ์การจัดการเต็มรูปแบบแล้ว
คำเตือนด้านความปลอดภัยของระบบนิเวศ Story Protocol
Unleash ระบุว่า “เหตุการณ์นี้เกิดจากโครงสร้างการบริหารและสิทธิ์ของ Unleash” และเสริมว่า “ผลกระทบดูเหมือนจะจำกัดอยู่เฉพาะสัญญาและการควบคุมของ Unleash เท่านั้น” และ “ไม่มีหลักฐานว่ามีความเสียหายต่อสัญญา Story Protocol, ผู้ตรวจสอบ หรือโครงสร้างพื้นฐานด้านล่าง” คำแถลงนี้พยายามจำกัดความเสียหายให้อยู่ในตัวของ Unleash เอง เพื่อไม่ให้กระทบต่อทั้งระบบนิเวศของ Story Protocol
Unleash เป็นหนึ่งในแอปพลิเคชันชื่อดังบนแพลตฟอร์ม Story Protocol ซึ่งเป็นโปรโตคอล Layer 1 ใหม่ที่เน้นการสร้างมูลค่าทางโทเค็นของทรัพย์สินทางปัญญา Story Protocol มีบริษัท PIP Labs ซึ่งได้รับทุนรวม 1.4 พันล้านดอลลาร์สหรัฐ นักลงทุนรวมถึงบริษัทร่วมลงทุนชั้นนำ หากเหตุการณ์ล้างเงินนี้ทำให้เกิดความกังวลด้านความปลอดภัยของระบบนิเวศ Story Protocol อาจส่งผลต่อแอปพลิเคชันอื่น ๆ ที่สร้างบนโปรโตคอลนี้และมูลค่ารวมของระบบ
ทีมงานของ Unleash ได้เตือนให้ผู้ใช้หยุดโต้ตอบกับสัญญา และจะอัปเดตข้อมูลทันทีเมื่อได้รับข้อมูลที่น่าเชื่อถือเกี่ยวกับการโจมตีและแนวทางแก้ไข การหยุดดำเนินการชั่วคราวเป็นมาตรการป้องกันตามปกติ เพื่อป้องกันไม่ให้แฮ็กเกอร์ใช้ช่องโหว่ในการขโมยเงินเพิ่มเติม แต่ก็หมายความว่าผู้ใช้ที่ถูกกฎหมายไม่สามารถเข้าถึงสินทรัพย์ของตนชั่วคราวได้
ในภาพรวม การโจมตีครั้งนี้เปิดเผยความเสี่ยงด้านการบริหารของ DeFi แม้กลไกหลายลายเซ็นจะปลอดภัยกว่าการลงนามเดียว แต่ก็ยังขึ้นอยู่กับการดำเนินการของมนุษย์ ซึ่งเป็นจุดอ่อนที่สุดของระบบ ยิ่งระบบ DeFi มีมูลค่าที่ถูกล็อกไว้เพิ่มขึ้น การโจมตีด้านการบริหารก็อาจเกิดขึ้นบ่อยและซับซ้อนมากขึ้น
btc.bar.articles
มูลนิธิ Ethereum ได้ขาย ETH ไปแล้ว 3,750 เหรียญ โดยมีราคาเฉลี่ย 2,214 ดอลลาร์สหรัฐ
ข่าวจาก Gate News เมื่อวันที่ 9 เมษายน ตามที่นักวิเคราะห์บนเชน “Yu Jin” ติดตามอยู่ กองทุนของมูลนิธิ Ethereum ในครั้งนี้มีแผนจะขาย ETH จำนวน 5,000 เหรียญ ขณะนี้ขายเสร็จแล้ว 3,750 เหรียญ มูลค่า 8.3 ล้านดอลลาร์สหรัฐ โดยมีราคาเฉลี่ยในการขายอยู่ที่ 2,214 ดอลลาร์สหรัฐ
GateNews25 นาที ที่แล้ว
Bitmine ซื้ออีเธอร์เรียมรอบเดียวอย่างหนัก 71k เหรียญ ทำสถิติการสะสมเพิ่มขึ้นมากที่สุดนับตั้งแต่เดือนธันวาคมปีที่แล้ว
Bitmine Immersion Technologies ได้เพิ่มการถือครอง Ethereum 71,252 เหรียญเมื่อสัปดาห์ที่แล้ว ทำให้จำนวนการถือครองอยู่ที่ 4.8Mเหรียญ มูลค่ารวมประมาณ 10.3 พันล้านดอลลาร์สหรัฐฯ ประธานเจ้าหน้าที่บริหาร Tom Lee มองว่า Ethereum กำลังอยู่ในช่วงปลายของฤดูหนาว และชี้ให้เห็นถึงมูลค่าด้านการหลบความเสี่ยงในความขัดแย้งทางทหารของอิหร่าน Ethereum เพิ่มขึ้นสะสม 6.8% นับตั้งแต่สงครามเริ่มต้นขึ้น
区块客1 ชั่วโมง ที่แล้ว
มูลนิธิ Ethereum ร่วมกับ Biconomy เปิดตัว ERC-8211: พร็อกซี AI สามารถทำงานร่วมกับสัญญา DeFi หลายรายการในการทำธุรกรรมครั้งเดียว
มูลนิธิ Ethereum ร่วมมือกับ Biconomy เปิดตัวมาตรฐาน ERC-8211 เพื่อให้เอเจนต์ AI สามารถดำเนินการขั้นตอน DeFi หลายขั้นแบบไดนามิกในธุรกรรมที่มีการลงนามเพียงครั้งเดียว โดยจะตัดสินพารามิเตอร์แบบเรียลไทม์ตามสภาพบนเชน และเอาชนะข้อจำกัดแบบคงที่ของ ERC-4337 มาตรฐานนี้ไม่จำเป็นต้องมีการแยกตัวในเลเยอร์โปรโตคอล ทำให้นักพัฒนานำไปใช้ได้สะดวก และจะช่วยผลักดันการบูรณาการระบบอัตโนมัติของ AI และ DeFi ให้ลึกซึ้งยิ่งขึ้น
動區BlockTempo3 ชั่วโมง ที่แล้ว
SUI จะแซงหน้า Ethereum: ผู้ร่วมก่อตั้ง Mysten Labs เผยคำกล่าวที่กล้าหาญ
คำกล่าวอันกล้าหาญจาก Mysten Labs ได้ดัน Sui กลับเข้าสู่สายตาอีกครั้ง โดยเฉพาะอย่างยิ่งเมื่อการถกเถียงเรื่องความสามารถในการปรับขยายและการชำระเงินคริปโตในโลกจริงยังคงพัฒนาอย่างต่อเนื่อง คำกล่าวอ้างนี้มุ่งเน้นไปที่แนวคิดเดียว ระบบการเงินในอนาคตจะต้องการธุรกรรมที่รวดเร็วและมีค่าใช้จ่ายเกือบเป็นศูนย์ และนั่นที่
CaptainAltcoin4 ชั่วโมง ที่แล้ว
Bitmine เข้าซื้อ 71,252 ETH ใกล้แตะ 4% ของอุปทานทั้งหมดของ Ethereum ด้วยการถือครองจำนวนมหาศาล
Bitmine ได้สะสม 4.8M ETH ซึ่งคิดเป็นเกือบ 4% ของอุปทาน ขณะเดียวกันก็ขยายการดำเนินงานด้านการ Staking เพื่อสร้างรายได้สูงถึง 282M ดอลลาร์ต่อปี ด้วยการถือครองรวมมูลค่า 11.4B ดอลลาร์ บริษัทจึงวางแผนที่จะเข้าจดทะเบียนในตลาด NYSE ซึ่งจะช่วยตอกย้ำสถานะการเป็นผู้ถือ Ethereum รายใหญ่อันดับต้นๆ
CryptoFrontNews7 ชั่วโมง ที่แล้ว
BlackRock กองทุน ETF สำหรับการปักหลักบน Ethereum เรียกเก็บค่าคอมมิชชั่น 18% จากผลตอบแทนการปักหลัก หลายผู้เชี่ยวชาญประเมินต้นทุนและความเสี่ยง
กองทุน iShares Staked Ethereum Trust ในเครือ BlackRock เปิดตัวในเดือนมีนาคม โดยมีค่าธรรมเนียมการจัดการ 0.25% และค่าคอมมิชชั่นจากผลตอบแทนจากการสเตก 18% ผู้เชี่ยวชาญในวงการเห็นว่าค่าคอมมิชชั่นดังกล่าวรวมต้นทุนหลายรายการ และในอนาคตอาจมีแนวโน้มลดลง มีผู้ตั้งข้อสงสัยว่าค่าธรรมเนียมที่สูงนั้นสมเหตุสมผลหรือไม่ โดยเฉพาะเมื่อเปรียบเทียบกับอัตราค่าธรรมเนียมสำหรับการสเตกของรายย่อย
GateNews8 ชั่วโมง ที่แล้ว
