วาฬคริปโตสูญเสีย 38 ล้านดอลลาร์จากการโจมตี Multisig

เจ้ามือใหญ่คริปโตขาดทุนประมาณ 38 ล้านดอลลาร์ หลังจากผู้โจมตีเข้าควบคุมกระเป๋า multisig และถอนเงินออกไปอย่างเงียบ ๆ เมื่อวันนี้

กรณีนี้ได้รับความสนใจอย่างใกล้ชิด เนื่องจากผู้โจมตีไม่เพียงแต่ย้ายสินทรัพย์ผ่าน Tornado Cash เท่านั้น แต่ยังคงควบคุมสถานะ DeFi แบบเลเวอเรจที่เชื่อมโยงกับกระเป๋าที่ถูกบุกรุกอีกด้วย

Multisig ถูกระบายหลังจาก Private Key ถูกบุกรุก

บริษัทรักษาความปลอดภัยบล็อกเชน PeckShield รายงานบน X เมื่อวันที่ 18 ธันวาคมว่า กระเป๋าของเจ้ามือใหญ่ถูกระบายหมดหลังจาก private key ถูกเปิดเผย ส่งผลให้เกิดความสูญเสียประมาณ 27.3 ล้านดอลลาร์ในแรกเห็น การติดตามบนเชนในเวลาต่อมาพบว่า ความเสียหายทั้งหมดเพิ่มขึ้นใกล้ 38 ล้านดอลลาร์ เมื่อรวมกระเป๋าและสถานะที่เกี่ยวข้อง

ตาม PeckShield ผู้โจมตีได้ส่ง ETH จำนวน 4,100 มูลค่าประมาณ 12.6 ล้านดอลลาร์ผ่าน Tornado Cash ในความพยายามที่จะปิดบังร่องรอย มีสินทรัพย์สภาพคล่องเหลืออยู่ประมาณ 2 ล้านดอลลาร์ ที่น่าเป็นห่วงมากกว่าคือ ผู้โจมตียังคงควบคุมแอดเดรสของเหยื่อ ซึ่งถือสถานะ long แบบเลเวอเรจบน Aave โดยข้อมูลบนเชนแสดงให้เห็น ETH มูลค่าประมาณ 25 ล้านดอลลาร์ที่ใช้เป็นหลักประกัน เทียบกับ DAI ที่ยืมมากกว่า 12 ล้านดอลลาร์

นักวิเคราะห์บนเชน Specter แชร์ไทม์ไลน์โดยละเอียดบน X โดยระบุว่าเหยื่อสร้างกระเป๋า multisig แบบ 1-of-1 ซึ่งหมายความว่าต้องใช้ลายเซ็นเพียงหนึ่งรายการจากผู้ลงนามคนเดียวเพื่ออนุมัติธุรกรรม อย่างไรก็ตาม การตั้งค่านี้ทำลายวัตถุประสงค์หลักของ multisig ซึ่งควรต้องการการอนุมัติอิสระหลายครั้ง

น้อยกว่า 40 นาทีหลังจากโอนเงินเข้าไป กระเป๋าพบการไหลออกจำนวนมหาศาลที่ระบายโทเค็นทั้งหมด ในเวลาเดียวกัน ผู้ลงนามถูกเปลี่ยนเป็นแอดเดรสที่ผู้โจมตีควบคุม

Specter กล่าวว่า คำอธิบายที่เป็นไปได้มากที่สุดคือ private key รั่วไหลระหว่างการตั้งค่า หรือเหยื่ออาศัยบุคคลที่สามที่เป็นอันตรายเพื่อช่วยสร้างกระเป๋า โพสต์ในภายหลังอ้างอิงนักวิจัย tanuki42 ชี้ให้เห็นว่า ผู้โจมตีอาจสร้าง multisig ด้วยตนเอง ทำให้เหยื่อถูกเปิดเผยทั้งระหว่างและหลังการตั้งค่า

รูปแบบที่คุ้นเคยในความล้มเหลวด้านความปลอดภัยคริปโต

เหตุการณ์นี้สอดคล้องกับรูปแบบที่กว้างขึ้นของการขโมย private key และ social engineering ที่ยังคงสร้างความเดือดร้อนให้กับภาคคริปโต ในรายงานเมื่อวันที่ 15 ธันวาคม กลุ่มความปลอดภัยไซเบอร์ Security Alliance เตือนว่า แฮกเกอร์ที่เชื่อมโยงกับเกาหลีเหนือกำลังทำการโทร Zoom และ Teams ปลอมทุกวันเพื่อปลูกมัลแวร์และขโมย private key ซึ่งเป็นวิธีการที่เกี่ยวข้องกับความสูญเสียหลายร้อยล้านดอลลาร์

ผู้ก่อตั้ง Binance Changpeng Zhao ออกคำเตือนคล้ายกันในเดือนกันยายน โดยกล่าวว่า ผู้โจมตีกำลังกำหนดเป้าหมายความไว้วางใจของมนุษย์มากขึ้น มากกว่าข้อบกพร่องของสมาร์ทคอนแทรกต์ มักจะปลอมตัวเป็นผู้ช่วยเหลือ ผู้สมัครงาน หรือผู้จัดการประชุม

ประวัติบนเชนแสดงให้เห็นว่า เจ้ามือใหญ่มีความเคลื่อนไหวมาหลายเดือนก่อนการแฮก เมื่อวันที่ 7 พฤษภาคม Onchain Lens รายงานว่า แอดเดรสเดียวกันได้ถอน ETH มากกว่า 2,500 จาก OKX และฝากเงินผ่าน Kiln Finance โดยค่อย ๆ สร้างสถานะ ETH ขนาดใหญ่

ในขณะนี้ การที่ผู้โจมตียังคงควบคุมสถานะ Aave เพิ่มความเสี่ยงอีกชั้นหนึ่ง หากตลาดเคลื่อนไหวอย่างรุนแรง การบังคับชำระบัญชีอาจทำให้ความสูญเสียลึกลงไปอีก เปลี่ยนการบุกรุกที่มีค่าใช้จ่ายสูงอยู่แล้วให้กลายเป็นบทเรียนที่รุนแรงยิ่งขึ้นเกี่ยวกับความปลอดภัยของ multisig และการจัดการ private key

โพสต์ Crypto Whale Loses $38M in Multisig Exploit ปรากฏครั้งแรกบน CryptoPotato