Unleash Protocol วันอังคารเปิดเผยความเสียหายจากการแฮ็กจำนวน 1,337 ETH มูลค่า 4 ล้านดอลลาร์สหรัฐ Peckshield และ CertiK ติดตามแสดงให้เห็นว่าแฮ็กเกอร์ใช้ Tornado Cash ล้างเงินแล้วส่ง ETH จำนวนหลายรายการไปยังบริการผสมเหรียญ ผู้โจมตีได้รับสิทธิ์ควบคุมระบบการบริหารแบบหลายลายเซ็นโดยไม่ได้รับอนุญาต อาจดำเนินการอัปเกรดสัญญาโดยไม่ได้รับอนุญาตผ่านวิศวกรรมสังคม เพื่อข้ามการตรวจสอบและถอนเงิน
บันทึกการติดตามการล้างเงินด้วย Tornado Cash
จากข้อมูลบนเชนและรายงานจากบริษัทด้านความปลอดภัย แฮ็กเกอร์พยายามใช้ Tornado Cash บน Ethereum เพื่อทำการล้างเงิน Tornado Cash เป็นบริการผสมเหรียญคริปโตเคอเรนซีที่ผสมเงินทุนของผู้ใช้หลายรายเข้าด้วยกัน เพื่อหยุดการเชื่อมโยงแหล่งที่มาของเงินและปลายทาง ทำให้เจ้าหน้าที่บังคับใช้กฎหมายตามรอยได้ยาก
Peckshield ระบุว่า แฮ็กเกอร์ดูเหมือนจะส่ง ETH 100 จำนวนมากไปยังผู้ให้บริการผสมเหรียญนี้ กลยุทธ์การส่งเป็นชุดนี้เป็นเทคนิคการล้างเงินแบบดั้งเดิม เพราะการโอนเงินจำนวนมากในครั้งเดียวจะง่ายต่อการถูกตรวจจับ การแยก ETH 1,337 ออกเป็น 13 ถึง 14 รายการที่ละ 100 ETH โดยเว้นช่วงเวลาระหว่างแต่ละรายการ ช่วยลดความเสี่ยงในการถูกตรวจจับทันที
CertiK เริ่มทำเครื่องหมาย Wrapped ETH และ IP Token ที่น่าสงสัย ซึ่งถูกส่งไปยังบัญชีภายนอกที่ดูเหมือนจะตั้งค่าด้วย SafeProxyFactory ซึ่งเป็นโรงงานสัญญาอัจฉริยะของ Gnosis Safe (ปัจจุบันคือ Safe) ซึ่งใช้สร้างกระเป๋าเงินหลายลายเซ็น แฮ็กเกอร์ใช้เครื่องมือนี้สร้างกระเป๋าชั่วคราวเพื่อรับเงินที่ได้มา แสดงให้เห็นว่ามีความเข้าใจเชิงลึกในระบบนิเวศ Ethereum
สินทรัพย์ที่ได้รับผลกระทบรวมถึง WIP, USDC, WETH, stIP และ vIP ซึ่งส่วนใหญ่ถูกสะพานไปยัง Ethereum และส่งไปยัง Tornado Cash กระบวนการสะพานนี้เองก็เพิ่มความยากในการติดตาม เนื่องจากทรัพย์สินจะผ่านสัญญาหลายตัวและที่อยู่ในระหว่างการข้ามเชน การโอนแต่ละครั้งจะทำให้เส้นทางการติดตามเบาบางลง เมื่อเข้าสู่ Tornado Cash เงินจะถูกผสมกับเงินฝากของผู้ใช้รายอื่น สร้างเป็น “กล่องดำ” ที่เงินปลายทางไม่สามารถเชื่อมโยงกับเงินเข้าได้
น่าสังเกตว่า Tornado Cash ตั้งแต่ถูกคว่ำบาติโดยกระทรวงการคลังสหรัฐในปี 2022 การใช้บริการนี้เองก็ผิดกฎหมาย แต่การคว่ำบาตรไม่ได้หยุดการดำเนินงานทั้งหมด เนื่องจาก Tornado Cash เป็นโปรโตคอลแบบกระจายศูนย์บนสมาร์ทคอนแทรกต์ จึงไม่สามารถปิดได้เหมือนบริการศูนย์กลาง แฮ็กเกอร์เต็มใจเสี่ยงกฎหมายเพื่อใช้ Tornado Cash แสดงให้เห็นว่ามีความระมัดระวังในการติดตามเทคนิค
วิธีการโจมตีระบบการบริหารแบบหลายลายเซ็น
เช้าวันอังคารที่ผ่านมา Unleash เปิดเผยช่องโหว่ด้านความปลอดภัย โครงการหยุดดำเนินการชั่วคราวและเริ่มวิเคราะห์หลักฐานการโจมตี การโจมตีดูเหมือนมาจากการทำลายระบบการลงนามหลายลายเซ็น Unleash ทวีตว่า “การสอบสวนเบื้องต้นของเราชี้ให้เห็นว่า บัญชีภายนอกที่ครอบครองโดย Unleash ได้รับสิทธิ์ควบคุมการบริหารผ่านกลไกการบริหารแบบหลายลายเซ็น และดำเนินการอัปเกรดสัญญาโดยไม่ได้รับอนุญาต”
พูดอีกนัยหนึ่งคือ แฮ็กเกอร์ไม่ได้รับอนุญาตให้ควบคุมระบบการบริหารของ Unleash Protocol โดยตรง อาจเป็นไปได้ว่าผ่านการหลอกลวงทางสังคมหรือช่องโหว่ด้านความปลอดภัยอื่น ๆ ทำให้สามารถดำเนินการอัปเกรดที่ข้ามการตรวจสอบและดึงเงินของผู้ใช้จากสัญญา การโจมตีแบบนี้ใน DeFi ไม่ใช่เรื่องแปลก แต่ความสำเร็จในการฝ่าฟันกลไกหลายลายเซ็นยังเป็นเรื่องที่น่ากังวล
กลไกการลงนามหลายลายเซ็น (Multi-Signature Wallet) เป็นกลไกปกป้องสินทรัพย์ใน DeFi ที่นิยมที่สุด ต้องการให้เจ้าของกุญแจหลายคนร่วมลงนามเพื่อดำเนินธุรกรรม โดยในทางทฤษฎี แม้กุญแจเดียวจะถูกขโมย ก็ยังไม่สามารถโจรกรรมเงินได้ อย่างไรก็ตาม การโจมตีครั้งนี้แสดงให้เห็นว่ากลไกหลายลายเซ็นก็ไม่ปลอดภัยสมบูรณ์
สามความเป็นไปได้ที่ทำให้กลไกหลายลายเซ็นล้มเหลว
การโจมตีทางสังคม: แฮ็กเกอร์ใช้เมลฟิชชิงหรือข้อความปลอมหลอกให้ผู้ลงนามเปิดเผยกุญแจส่วนตัว
บุคคลในองค์กรทำผิด: ผู้ถือกุญแจหลายคนในองค์กรสมรู้ร่วมคิดหรือถูกจ้างวานให้ร่วมมือกับแฮ็กเกอร์
ช่องโหว่ในสัญญา: สัญญาแบบหลายลายเซ็นมีบั๊กในโค้ดอนุญาตให้แฮ็กเกอร์ข้ามข้อกำหนดการลงนาม
คำแถลงของ Unleash เน้นว่า “บัญชีภายนอกที่ครอบครองโดย” ได้รับสิทธิ์ควบคุม ซึ่งบ่งชี้ว่านี่อาจไม่ใช่ความผิดของบุคคลในองค์กร แต่เป็นการโจมตีจากภายนอกที่ใช้เทคนิคหรือกลยุทธ์ทางสังคมเพื่อให้ได้สิทธิ์ลงนามเพียงพอ การอัปเกรดนี้ทำให้สามารถดึงเงินออกโดยไม่ได้รับอนุญาตจากทีมงานของ Unleash และเกิดขึ้นนอกเหนือจากกระบวนการบริหารและการดำเนินงานตามปกติ แสดงให้เห็นว่าแฮ็กเกอร์ได้ควบคุมสิทธิ์การจัดการเต็มรูปแบบแล้ว
คำเตือนด้านความปลอดภัยของระบบนิเวศ Story Protocol
Unleash ระบุว่า “เหตุการณ์นี้เกิดจากโครงสร้างการบริหารและสิทธิ์ของ Unleash” และเสริมว่า “ผลกระทบดูเหมือนจะจำกัดอยู่เฉพาะสัญญาและการควบคุมของ Unleash เท่านั้น” และ “ไม่มีหลักฐานว่ามีความเสียหายต่อสัญญา Story Protocol, ผู้ตรวจสอบ หรือโครงสร้างพื้นฐานด้านล่าง” คำแถลงนี้พยายามจำกัดความเสียหายให้อยู่ในตัวของ Unleash เอง เพื่อไม่ให้กระทบต่อทั้งระบบนิเวศของ Story Protocol
Unleash เป็นหนึ่งในแอปพลิเคชันชื่อดังบนแพลตฟอร์ม Story Protocol ซึ่งเป็นโปรโตคอล Layer 1 ใหม่ที่เน้นการสร้างมูลค่าทางโทเค็นของทรัพย์สินทางปัญญา Story Protocol มีบริษัท PIP Labs ซึ่งได้รับทุนรวม 1.4 พันล้านดอลลาร์สหรัฐ นักลงทุนรวมถึงบริษัทร่วมลงทุนชั้นนำ หากเหตุการณ์ล้างเงินนี้ทำให้เกิดความกังวลด้านความปลอดภัยของระบบนิเวศ Story Protocol อาจส่งผลต่อแอปพลิเคชันอื่น ๆ ที่สร้างบนโปรโตคอลนี้และมูลค่ารวมของระบบ
ทีมงานของ Unleash ได้เตือนให้ผู้ใช้หยุดโต้ตอบกับสัญญา และจะอัปเดตข้อมูลทันทีเมื่อได้รับข้อมูลที่น่าเชื่อถือเกี่ยวกับการโจมตีและแนวทางแก้ไข การหยุดดำเนินการชั่วคราวเป็นมาตรการป้องกันตามปกติ เพื่อป้องกันไม่ให้แฮ็กเกอร์ใช้ช่องโหว่ในการขโมยเงินเพิ่มเติม แต่ก็หมายความว่าผู้ใช้ที่ถูกกฎหมายไม่สามารถเข้าถึงสินทรัพย์ของตนชั่วคราวได้
ในภาพรวม การโจมตีครั้งนี้เปิดเผยความเสี่ยงด้านการบริหารของ DeFi แม้กลไกหลายลายเซ็นจะปลอดภัยกว่าการลงนามเดียว แต่ก็ยังขึ้นอยู่กับการดำเนินการของมนุษย์ ซึ่งเป็นจุดอ่อนที่สุดของระบบ ยิ่งระบบ DeFi มีมูลค่าที่ถูกล็อกไว้เพิ่มขึ้น การโจมตีด้านการบริหารก็อาจเกิดขึ้นบ่อยและซับซ้อนมากขึ้น
btc.bar.articles
ETH 15 นาทีปรับลง 0.62%: เงินทุนก้อนใหญ่ไหลออกและการไหลออกสุทธิของ ETF ส่งผลเสริมให้ความผันผวนขยายตัว
ในช่วง 2026-04-05 12:30 ถึง 12:45 (UTC) ราคาของ ETH อยู่ระหว่าง 2022.11 ถึง 2037.82 USDT ผลตอบแทนจากกราฟแท่งเทียน 15 นาทีอยู่ที่ -0.62% และความแกว่งอยู่ที่ 0.77% ภายใต้บริบทที่กิจกรรมบนเชนยังคงอยู่ในระดับสูง ความสนใจของตลาดเพิ่มขึ้น ความผันผวนมีแนวโน้มรุนแรงขึ้น สะท้อนว่าความรู้สึกหลบหลีกในระยะสั้นเพิ่มขึ้น
แรงผลักดันหลักของความผิดปกติครั้งนี้คือเงินก้อนขนาดใหญ่ยังคงไหลออกจากการแลกเปลี่ยนอย่างต่อเนื่อง โดยข้อมูลแสดงว่าใน 24 ชั่วโมงที่ผ่านมา ETH มีการไหลออกสุทธิสูงถึง -11,970.54 เหรียญ และในช่วง $1M-$10M การไหลออกสุทธิของเงินก้อนขนาดใหญ่ -5
GateNews1 ชั่วโมง ที่แล้ว
10x Research: ปริมาณการออก USDT บน Ethereum แซงหน้า Tron, ETH อาจเป็นผู้ได้รับประโยชน์หลักจากการเติบโตของเหรียญ stablecoin
10x Research ระบุว่า ในช่วงห้าปีที่ผ่านมา อีเธอเรียม (ETH) มีผลการดำเนินงานที่ค่อนข้างน่าผิดหวัง โดยราคามีการแกว่งตัวอยู่ราว 2000 ดอลลาร์สหรัฐเป็นหลัก ซึ่งเป็นผลมาจากกิจกรรมบนเชนที่ซบเซาทำให้ความต้องการไม่เพียงพอ หลังจากร่วงลง 57% จากจุดสูงสุดในปี 2025 ตอนนี้มูลค่าประเมินของ ETH ต่ำลง ขณะที่การสะสมเงินทุนยังคงดำเนินต่อไป โดยปริมาณการออก USDT มากกว่า Tron ซึ่งทำให้มีการพูดคุยว่า ETH อาจกลายเป็นผู้รับประโยชน์หลักจากการเติบโตของเหรียญ stablecoin นักวิเคราะห์กำลังประเมินจุดเปลี่ยนที่อาจเกิดขึ้นสำหรับ ETH อีกครั้ง
GateNews2 ชั่วโมง ที่แล้ว
ที่อยู่หนึ่งได้ฝากเงิน 1856 ETH ไปยัง CEX หนึ่งแห่ง หากขายออกจะขาดทุน 1.89 ล้านดอลลาร์สหรัฐ
Gate News ข่าวสาร, 4 เมษายน 5, ตามข้อมูลบนเชน, ที่อยู่บางแห่งเมื่อ 45 นาทีก่อน ได้นำ ETH จำนวน 1856 เหรียญ ฝากเข้าไปยัง CEX บางแห่ง มูลค่าประมาณ 3.78 ล้านดอลลาร์สหรัฐฯ ที่อยู่นี้ถือครอง ETH เป็นเวลาสองเดือน โดย ETH จำนวน 1450 เหรียญ ถูกถอนออกจากการแลกเปลี่ยนเมื่อวันที่ 18 มกราคม เมื่อราคาที่ 3339.38 ดอลลาร์สหรัฐฯ หากขายออกจะขาดทุน 1.89 ล้านดอลลาร์สหรัฐฯ มูลค่าแอสเซ็ตจะลดลง 39%
GateNews4 ชั่วโมง ที่แล้ว
การคาดการณ์ราคา 4/3: BTC, ETH, BNB, XRP, SOL, DOGE, HYPE, ADA, BCH, LINK
ประเด็นสำคัญ:
ผู้ซื้อกำลังพยายามรักษาให้ BTC อยู่เหนือระดับ $66,500 แต่มีนักวิเคราะห์หลายคนเชื่อว่าระดับ $60,000 อาจมีการแตกออกได้
อัลท์คอยน์รายใหญ่บางส่วนมีความเสี่ยงที่จะหลุดลงต่ำกว่าระดับแนวรับทันที ซึ่งส่งสัญญาณว่ายังเป็นฝั่งหมีที่ควบคุมสถานการณ์อยู่
ผู้ซื้อกำลังพยายามที่จะผลักดัน an
Cointelegraph5 ชั่วโมง ที่แล้ว
