4 ล้านดอลลาร์สหรัฐฯ Ethereum ถูกขโมย! กระบวนการล้างเงินของแฮกเกอร์เปิดเผยทั้งหมด กลไกหลายลายเซ็นถูกเจาะระบบ

Unleash Protocol วันอังคารเปิดเผยความเสียหายจากการแฮ็กจำนวน 1,337 ETH มูลค่า 4 ล้านดอลลาร์สหรัฐ Peckshield และ CertiK ติดตามแสดงให้เห็นว่าแฮ็กเกอร์ใช้ Tornado Cash ล้างเงินแล้วส่ง ETH จำนวนหลายรายการไปยังบริการผสมเหรียญ ผู้โจมตีได้รับสิทธิ์ควบคุมระบบการบริหารแบบหลายลายเซ็นโดยไม่ได้รับอนุญาต อาจดำเนินการอัปเกรดสัญญาโดยไม่ได้รับอนุญาตผ่านวิศวกรรมสังคม เพื่อข้ามการตรวจสอบและถอนเงิน

บันทึกการติดตามการล้างเงินด้วย Tornado Cash

จากข้อมูลบนเชนและรายงานจากบริษัทด้านความปลอดภัย แฮ็กเกอร์พยายามใช้ Tornado Cash บน Ethereum เพื่อทำการล้างเงิน Tornado Cash เป็นบริการผสมเหรียญคริปโตเคอเรนซีที่ผสมเงินทุนของผู้ใช้หลายรายเข้าด้วยกัน เพื่อหยุดการเชื่อมโยงแหล่งที่มาของเงินและปลายทาง ทำให้เจ้าหน้าที่บังคับใช้กฎหมายตามรอยได้ยาก

Peckshield ระบุว่า แฮ็กเกอร์ดูเหมือนจะส่ง ETH 100 จำนวนมากไปยังผู้ให้บริการผสมเหรียญนี้ กลยุทธ์การส่งเป็นชุดนี้เป็นเทคนิคการล้างเงินแบบดั้งเดิม เพราะการโอนเงินจำนวนมากในครั้งเดียวจะง่ายต่อการถูกตรวจจับ การแยก ETH 1,337 ออกเป็น 13 ถึง 14 รายการที่ละ 100 ETH โดยเว้นช่วงเวลาระหว่างแต่ละรายการ ช่วยลดความเสี่ยงในการถูกตรวจจับทันที

CertiK เริ่มทำเครื่องหมาย Wrapped ETH และ IP Token ที่น่าสงสัย ซึ่งถูกส่งไปยังบัญชีภายนอกที่ดูเหมือนจะตั้งค่าด้วย SafeProxyFactory ซึ่งเป็นโรงงานสัญญาอัจฉริยะของ Gnosis Safe (ปัจจุบันคือ Safe) ซึ่งใช้สร้างกระเป๋าเงินหลายลายเซ็น แฮ็กเกอร์ใช้เครื่องมือนี้สร้างกระเป๋าชั่วคราวเพื่อรับเงินที่ได้มา แสดงให้เห็นว่ามีความเข้าใจเชิงลึกในระบบนิเวศ Ethereum

สินทรัพย์ที่ได้รับผลกระทบรวมถึง WIP, USDC, WETH, stIP และ vIP ซึ่งส่วนใหญ่ถูกสะพานไปยัง Ethereum และส่งไปยัง Tornado Cash กระบวนการสะพานนี้เองก็เพิ่มความยากในการติดตาม เนื่องจากทรัพย์สินจะผ่านสัญญาหลายตัวและที่อยู่ในระหว่างการข้ามเชน การโอนแต่ละครั้งจะทำให้เส้นทางการติดตามเบาบางลง เมื่อเข้าสู่ Tornado Cash เงินจะถูกผสมกับเงินฝากของผู้ใช้รายอื่น สร้างเป็น “กล่องดำ” ที่เงินปลายทางไม่สามารถเชื่อมโยงกับเงินเข้าได้

น่าสังเกตว่า Tornado Cash ตั้งแต่ถูกคว่ำบาติโดยกระทรวงการคลังสหรัฐในปี 2022 การใช้บริการนี้เองก็ผิดกฎหมาย แต่การคว่ำบาตรไม่ได้หยุดการดำเนินงานทั้งหมด เนื่องจาก Tornado Cash เป็นโปรโตคอลแบบกระจายศูนย์บนสมาร์ทคอนแทรกต์ จึงไม่สามารถปิดได้เหมือนบริการศูนย์กลาง แฮ็กเกอร์เต็มใจเสี่ยงกฎหมายเพื่อใช้ Tornado Cash แสดงให้เห็นว่ามีความระมัดระวังในการติดตามเทคนิค

วิธีการโจมตีระบบการบริหารแบบหลายลายเซ็น

เช้าวันอังคารที่ผ่านมา Unleash เปิดเผยช่องโหว่ด้านความปลอดภัย โครงการหยุดดำเนินการชั่วคราวและเริ่มวิเคราะห์หลักฐานการโจมตี การโจมตีดูเหมือนมาจากการทำลายระบบการลงนามหลายลายเซ็น Unleash ทวีตว่า “การสอบสวนเบื้องต้นของเราชี้ให้เห็นว่า บัญชีภายนอกที่ครอบครองโดย Unleash ได้รับสิทธิ์ควบคุมการบริหารผ่านกลไกการบริหารแบบหลายลายเซ็น และดำเนินการอัปเกรดสัญญาโดยไม่ได้รับอนุญาต”

พูดอีกนัยหนึ่งคือ แฮ็กเกอร์ไม่ได้รับอนุญาตให้ควบคุมระบบการบริหารของ Unleash Protocol โดยตรง อาจเป็นไปได้ว่าผ่านการหลอกลวงทางสังคมหรือช่องโหว่ด้านความปลอดภัยอื่น ๆ ทำให้สามารถดำเนินการอัปเกรดที่ข้ามการตรวจสอบและดึงเงินของผู้ใช้จากสัญญา การโจมตีแบบนี้ใน DeFi ไม่ใช่เรื่องแปลก แต่ความสำเร็จในการฝ่าฟันกลไกหลายลายเซ็นยังเป็นเรื่องที่น่ากังวล

กลไกการลงนามหลายลายเซ็น (Multi-Signature Wallet) เป็นกลไกปกป้องสินทรัพย์ใน DeFi ที่นิยมที่สุด ต้องการให้เจ้าของกุญแจหลายคนร่วมลงนามเพื่อดำเนินธุรกรรม โดยในทางทฤษฎี แม้กุญแจเดียวจะถูกขโมย ก็ยังไม่สามารถโจรกรรมเงินได้ อย่างไรก็ตาม การโจมตีครั้งนี้แสดงให้เห็นว่ากลไกหลายลายเซ็นก็ไม่ปลอดภัยสมบูรณ์

สามความเป็นไปได้ที่ทำให้กลไกหลายลายเซ็นล้มเหลว

การโจมตีทางสังคม: แฮ็กเกอร์ใช้เมลฟิชชิงหรือข้อความปลอมหลอกให้ผู้ลงนามเปิดเผยกุญแจส่วนตัว

บุคคลในองค์กรทำผิด: ผู้ถือกุญแจหลายคนในองค์กรสมรู้ร่วมคิดหรือถูกจ้างวานให้ร่วมมือกับแฮ็กเกอร์

ช่องโหว่ในสัญญา: สัญญาแบบหลายลายเซ็นมีบั๊กในโค้ดอนุญาตให้แฮ็กเกอร์ข้ามข้อกำหนดการลงนาม

คำแถลงของ Unleash เน้นว่า “บัญชีภายนอกที่ครอบครองโดย” ได้รับสิทธิ์ควบคุม ซึ่งบ่งชี้ว่านี่อาจไม่ใช่ความผิดของบุคคลในองค์กร แต่เป็นการโจมตีจากภายนอกที่ใช้เทคนิคหรือกลยุทธ์ทางสังคมเพื่อให้ได้สิทธิ์ลงนามเพียงพอ การอัปเกรดนี้ทำให้สามารถดึงเงินออกโดยไม่ได้รับอนุญาตจากทีมงานของ Unleash และเกิดขึ้นนอกเหนือจากกระบวนการบริหารและการดำเนินงานตามปกติ แสดงให้เห็นว่าแฮ็กเกอร์ได้ควบคุมสิทธิ์การจัดการเต็มรูปแบบแล้ว

คำเตือนด้านความปลอดภัยของระบบนิเวศ Story Protocol

Unleash ระบุว่า “เหตุการณ์นี้เกิดจากโครงสร้างการบริหารและสิทธิ์ของ Unleash” และเสริมว่า “ผลกระทบดูเหมือนจะจำกัดอยู่เฉพาะสัญญาและการควบคุมของ Unleash เท่านั้น” และ “ไม่มีหลักฐานว่ามีความเสียหายต่อสัญญา Story Protocol, ผู้ตรวจสอบ หรือโครงสร้างพื้นฐานด้านล่าง” คำแถลงนี้พยายามจำกัดความเสียหายให้อยู่ในตัวของ Unleash เอง เพื่อไม่ให้กระทบต่อทั้งระบบนิเวศของ Story Protocol

Unleash เป็นหนึ่งในแอปพลิเคชันชื่อดังบนแพลตฟอร์ม Story Protocol ซึ่งเป็นโปรโตคอล Layer 1 ใหม่ที่เน้นการสร้างมูลค่าทางโทเค็นของทรัพย์สินทางปัญญา Story Protocol มีบริษัท PIP Labs ซึ่งได้รับทุนรวม 1.4 พันล้านดอลลาร์สหรัฐ นักลงทุนรวมถึงบริษัทร่วมลงทุนชั้นนำ หากเหตุการณ์ล้างเงินนี้ทำให้เกิดความกังวลด้านความปลอดภัยของระบบนิเวศ Story Protocol อาจส่งผลต่อแอปพลิเคชันอื่น ๆ ที่สร้างบนโปรโตคอลนี้และมูลค่ารวมของระบบ

ทีมงานของ Unleash ได้เตือนให้ผู้ใช้หยุดโต้ตอบกับสัญญา และจะอัปเดตข้อมูลทันทีเมื่อได้รับข้อมูลที่น่าเชื่อถือเกี่ยวกับการโจมตีและแนวทางแก้ไข การหยุดดำเนินการชั่วคราวเป็นมาตรการป้องกันตามปกติ เพื่อป้องกันไม่ให้แฮ็กเกอร์ใช้ช่องโหว่ในการขโมยเงินเพิ่มเติม แต่ก็หมายความว่าผู้ใช้ที่ถูกกฎหมายไม่สามารถเข้าถึงสินทรัพย์ของตนชั่วคราวได้

ในภาพรวม การโจมตีครั้งนี้เปิดเผยความเสี่ยงด้านการบริหารของ DeFi แม้กลไกหลายลายเซ็นจะปลอดภัยกว่าการลงนามเดียว แต่ก็ยังขึ้นอยู่กับการดำเนินการของมนุษย์ ซึ่งเป็นจุดอ่อนที่สุดของระบบ ยิ่งระบบ DeFi มีมูลค่าที่ถูกล็อกไว้เพิ่มขึ้น การโจมตีด้านการบริหารก็อาจเกิดขึ้นบ่อยและซับซ้อนมากขึ้น