การแฮ็ก Unleash Protocol ส่งผลให้สูญเสียสินทรัพย์บน Ethereum มูลค่า 3.9 ล้านดอลลาร์หลังจากการละเมิดระบบกำกับดูแล multisig บน Story Protocol ผู้โจมตีใช้ประโยชน์จากการควบคุมระดับผู้ดูแลระบบเพื่อถอน USDC, WETH, stIP และ vIP จากนั้นฟอกเงินผ่าน 34 รายการโอนไปยัง Tornado Cash โปรโตคอลหยุดการดำเนินงานและเริ่มการสอบสวน
-
การแฮ็ก Unleash Protocol: ถูกขโมย 3.9 ล้านดอลลาร์ผ่านการใช้ multisig ในทางที่ผิดบน Story Protocol
-
ผู้โจมตีถอน USDC, WETH, stIP, vIP; เชื่อมต่อไปยัง Ethereum
-
34 รายการโอน ETH ไปยัง Tornado Cash รวมถึงชุด 100 ETH เพื่อฟอกเงิน (ข้อมูล PeckShieldAlert)
การแฮ็ก Unleash Protocol ส่งผลให้สูญเสีย ETH มูลค่า 3.9 ล้านดอลลาร์จากการละเมิด multisig ค้นพบรายละเอียดการโจมตี กลยุทธ์การฟอกเงิน และการตอบสนองของโปรโตคอล รักษาความปลอดภัย—อ่านเลยเพื่อข้อมูลเชิงลึกเกี่ยวกับ DeFi (158 ตัวอักษร)
การแฮ็ก Unleash Protocol คืออะไร?
การแฮ็ก Unleash Protocol หมายถึงเหตุการณ์ด้านความปลอดภัยในเดือนธันวาคม 2024 ที่ผู้โจมตีได้ทำลายระบบกำกับดูแล multisig ของโปรโตคอลบน Story Protocol ส่งผลให้สินทรัพย์ถูกขโมยประมาณ 3.9 ล้านดอลลาร์ ผู้โจมตีได้รับการเข้าถึงระดับผู้ดูแลระบบโดยไม่ได้รับอนุญาต อัปเกรดสัญญาอัจฉริยะ และถอนเงินของผู้ใช้รวมถึงโทเค็น USDC, WETH, stIP และ vIP เงินเหล่านี้ถูกเชื่อมต่อไปยัง Ethereum mainnet และส่งไปยัง Tornado Cash อย่างเป็นระบบเพื่อปกปิดร่องรอย
การแฮ็ก Unleash Protocol เกิดขึ้นได้อย่างไร?
การละเมิดเกิดจากช่องโหว่ในกรอบการกำกับดูแล multisig ของ Unleash Protocol ตามการวิเคราะห์ของ PeckShieldAlert ผู้โจมตีใช้สิทธิ์ผู้ดูแลระบบในทางที่ผิดเพื่อติดตั้งการอัปเกรดสัญญาอัจฉริยะที่เป็นอันตราย สิ่งนี้ทำให้สามารถถอนเงินโดยไม่ได้รับอนุญาติโดยข้ามขั้นตอนมาตรฐาน สินทรัพย์ที่ถูกขโมยมีมูลค่ารวมประมาณ 3.9 ล้าน ส่วนใหญ่เป็น ETH เทียบเท่าหลังจากการเชื่อมต่อ
หลังจากการโจมตี เงินเคลื่อนผ่าน 34 รายการธุรกรรมภายใน 11-12 ชั่วโมงไปยังสัญญาฝากเงินของ Tornado Cash PeckShieldAlert สังเกตรูปแบบที่มีโครงสร้าง: หลายรายการ 1 ETH, 10 ETH และชุดเด่น 100 ETH บวกกับการโอน 0.1 ETH ค่าธรรมเนียมเครือข่ายคงที่ที่ 0.0028-0.0030 ETH ต่อรายการธุรกรรม ทั้งหมดจากกระเป๋าเงินที่ถูกบุกรุกเพียงหนึ่งเดียว แสดงถึงการวางแผนอย่างตั้งใจ
เหตุการณ์นี้เน้นย้ำความเสี่ยงในการตั้งค่า multisig ซึ่งผู้ลงนามหลายคนจัดการคีย์ แต่วิศวกรรมสังคมหรือการบุกรุกคีย์สามารถเปิดใช้งานการโจมตีดังกล่าวได้ คำแถลงของ Unleash Protocol ชี้แจงว่าสัญญาหลัก ผู้ตรวจสอบความถูกต้อง และโครงสร้างพื้นฐานของ Story Protocol ไม่ได้รับผลกระทบ โดยแยกปัญหาไปที่การอนุญาตการกำกับดูแล
คำถามที่พบบ่อย
เกิดอะไรขึ้นในการแฮ็ก Unleash Protocol?
ในการแฮ็ก Unleash Protocol ผู้โจมตีใช้ประโยชน์จากการควบคุม multisig เพื่อขโมยสินทรัพย์มูลค่า 3.9 ล้านดอลลาร์ เช่น USDC และ WETH จากสัญญาบน Story Protocol เงินถูกฟอกผ่าน Tornado Cash ในชุด ETH ที่มีโครงสร้าง โปรโตคอลหยุดการดำเนินงานทันทีและกำลังสอบสวนกิจกรรมของผู้ลงนาม
Story Protocol ปลอดภัยหรือไม่หลังจากการแฮ็ก Unleash Protocol?
ใช่ Unleash Protocol ยืนยันว่าโครงสร้างพื้นฐานหลักของ Story Protocol ยังคงปลอดภัย โดยไม่มีการบุกรุกสัญญาหรือผู้ตรวจสอบความถูกต้อง การละเมิดถูกจำกัดอยู่ที่กรอบการกำกับดูแลของ Unleash ผู้ใช้ควรติดตามการอัปเดตอย่างเป็นทางการก่อนกลับมาใช้งาน
ประเด็นสำคัญ
- เปิดเผยช่องโหว่ Multisig: กรอบการกำกับดูแลยังคงเป็นเป้าหมายหลัก การตรวจสอบอย่างสม่ำเสมอและการตรวจสอบผู้ลงนามเป็นสิ่งจำเป็น
- ตรวจพบรูปแบบการฟอกเงิน: 34 รายการโอนที่มีโครงสร้างไปยัง Tornado Cash เน้นย้ำกลยุทธ์การปกปิดขั้นสูงตามข้อมูล PeckShieldAlert
- การตอบสนองอย่างรวดเร็วเป็นสิ่งสำคัญ: การหยุดการดำเนินงานป้องกันการสูญเสียเพิ่มเติม—Unleash กำลังเพิ่มความปลอดภัยด้วยความร่วมมือจากผู้เชี่ยวชาญ
สรุป
การแฮ็ก Unleash Protocol ที่เกี่ยวข้องกับการละเมิด multisig มูลค่า 3.9 ล้านดอลลาร์ เป็นตัวอย่างของความท้าทายด้านความปลอดภัย DeFi ที่กำลังดำเนินอยู่ท่ามกลางความซับซ้อนของโปรโตคอลที่เพิ่มขึ้น โดยมีเงินถูกส่งผ่าน Tornado Cash และการสอบสวนที่มุ่งเน้นกำลังดำเนินการ Unleash Protocol ให้ความสำคัญกับการแก้ไขและความโปร่งใส ผู้ใช้ DeFi ควรให้ความสำคัญกับโครงการที่มีการตรวจสอบการกำกับดูแลที่แข็งแกร่ง โดยคงความระมัดระวังในขณะที่ระบบนิเวศพัฒนาไปสู่การปกป้องที่แข็งแกร่งยิ่งขึ้น
Unleash Protocol สูญเสีย 3.9 ล้านดอลลาร์ใน ETH หลังจากการละเมิด multisig; เงินที่ถูกขโมยถูกส่งไปยัง Tornado Cash เพื่อฟอกเงิน
- ผู้โจมตีใช้การกำกับดูแล multisig ในทางที่ผิดเพื่อถอนสินทรัพย์ USDC, WETH, stIP และ vIP
- 34 รายการโอน ETH ไปยัง Tornado Cash รวมถึงชุด 100 ETH ที่มีโครงสร้าง
- โปรโตคอลหยุดการดำเนินงาน สอบสวนกิจกรรม multisig และเพิ่มมาตรการรักษาความปลอดภัย
การละเมิดความปลอดภัยเกิดขึ้นกับ Unleash Protocol บน Story Protocol ส่งผลให้สูญเสียเงินของผู้ใช้ประมาณ 3.9 ล้านดอลลาร์ PeckShieldAlert รายงานว่าผู้กระทำการที่ไม่ได้รับอนุญาตใช้ประโยชน์จากการควบคุมระดับผู้ดูแลระบบในการกำกับดูแล multisig ของโปรโตคอล
ด้วยเหตุนี้ ผู้โจมตีอัปเกรดสัญญาอัจฉริยะ เปิดใช้งานการถอนสินทรัพย์นอกขั้นตอนอย่างเป็นทางการ เงินที่ถูกขโมย รวมถึง USDC, WETH, stIP และ vIP ถูกเชื่อมต่อไปยัง Ethereum และส่งไปยัง Tornado Cash ซึ่งเป็นบริการผสมสกุลเงินดิจิทัล การโอนอย่างเป็นระบบนี้บ่งชี้ถึงความพยายามที่ตั้งใจจะปกปิดร่องรอยการทำธุรกรรม
ข้อมูลของ PeckShieldAlert เน้นรูปแบบที่เข้มข้นของธุรกรรม Ethereum กระเป๋าเงินที่ถูกบุกรุกดำเนินการโอนขาออก 34 รายการภายใน 11 ถึง 12 ชั่วโมง โดยส่งเงินทั้งหมดไปยังสัญญาฝากเงินของ Tornado Cash โดยตรง ขนาดธุรกรรมเป็นไปตามหน่วยที่มีโครงสร้าง โดยมีการฝาก 1 ETH หลายรายการ การโอน 10 ETH หลายรายการ และกลุ่มการฝาก 100 ETH ที่สำคัญ
นอกจากนี้ ธุรกรรม 0.1 ETH ปรากฏขึ้นในช่วงเวลานี้ การแบ่งชุดไปยังที่อยู่หลายแห่งแสดงการฟอกเงินที่วางแผนไว้ล่วงหน้า ไม่ใช่กิจกรรมสุ่ม ค่าธรรมเนียมเครือข่ายคงที่ที่ 0.0028-0.0030 ETH ทั้งหมดจากกระเป๋าเงินเดียว
การสอบสวนและการตอบสนองของโปรโตคอล
Unleash Protocol ยืนยันเหตุการณ์ในคำแถลง โดยเน้นย้ำว่าโครงสร้างพื้นฐานหลักของ Story Protocol ยังคงไม่ได้รับการบุกรุก พวกเขาอธิบายว่า "เหตุการณ์เกิดขึ้นภายในกรอบการกำกับดูแลและการอนุญาตของ Unleash Protocol ไม่มีหลักฐานการบุกรุกสัญญา ผู้ตรวจสอบความถูกต้อง หรือโครงสร้างพื้นฐานของ Story Protocol"
โปรโตคอลหยุดการดำเนินงานทันทีเพื่อป้องกันการสูญเสียเพิ่มเติม พวกเขากำลังร่วมมือกับผู้เชี่ยวชาญด้านความปลอดภัยเพื่อสอบสวนกิจกรรมผู้ลงนาม multisig แนวปฏิบัติการจัดการคีย์ และขั้นตอนการกำกับดูแล
Unleash Protocol เรียกร้องให้ผู้ใช้หลีกเลี่ยงการโต้ตอบกับสัญญาจนกว่าจะมีการแจ้งเพิ่มเติม พวกเขายังคงรักษาข้อมูลบนเชนและประสานงานกับพาร์ทเนอร์ในระบบนิเวศ ทีมให้ความสำคัญกับการสื่อสารที่โปร่งใสและมาตรการแก้ไขอย่างระมัดระวัง
ในบริบท DeFi ที่กว้างขึ้น การละเมิด multisig ดังกล่าวเน้นย้ำความจำเป็นในการรักษาความปลอดภัยหลายชั้น: กระเป๋าเงินฮาร์ดแวร์ การคำนวณหลายฝ่าย และการล็อกเวลาในการอัปเกรด การตรวจสอบแบบเรียลไทม์ของ PeckShieldAlert เป็นตัวอย่างว่าบริษัทวิเคราะห์บล็อกเชนช่วยการตอบสนองอย่างรวดเร็วอย่างไร ติดตามกระแสเงินก่อนที่จะถูกปกปิดทั้งหมด
แม้ว่า Tornado Cash จะเปิดใช้งานความเป็นส่วนตัว แต่การใช้ในการฟอกเงินทำให้เกิดการตรวจสอบด้านกฎระเบียบ โปรโตคอลเช่น Unleash สามารถฟื้นตัวได้โดยการใช้การหมุนเวียนผู้ลงนามที่เพิ่มขึ้นและการตรวจจับความผิดปกติ นักลงทุนควรตรวจสอบความโปร่งใสในการกำกับดูแลผ่านการตรวจสอบได้บนเชนก่อนมีส่วนร่วม
Source: https://en.coinotag.com/unleash-protocol-faces-3-9m-eth-loss-in-suspected-multisig-breach
