加密巨鲸在多重签名漏洞中损失3800万美元

Seorang paus kripto telah kehilangan kira-kira $38 juta selepas penyerang mengambil alih dompet multisig dan secara senyap-senyap menguras dananya hari ini.

Kes ini menarik perhatian rapat kerana penyerang bukan sahaja memindahkan aset melalui Tornado Cash tetapi juga mengekalkan kawalan ke atas kedudukan DeFi berleverage yang terikat dengan dompet yang terjejas.

Multisig Dikuras Selepas Kunci Peribadi Terjejas

Firma keselamatan blockchain PeckShield melaporkan di X pada 18 Disember bahawa dompet paus telah dikosongkan selepas kunci peribadi terdedah, membawa kepada kerugian kira-kira $27.3 juta pada pandangan pertama. Penjejakan on-chain susulan menunjukkan jumlah kerosakan meningkat hampir $38 juta setelah dompet dan kedudukan berkaitan dimasukkan.

Menurut PeckShield, penyerang telah menghantar 4,100 ETH bernilai kira-kira $12.6 juta, melalui Tornado Cash dalam usaha yang jelas untuk mengaburkan jejak. Kira-kira $2 juta kekal dalam aset cecair. Lebih membimbangkan, penyerang masih mengawal alamat mangsa, yang memegang kedudukan long berleverage di Aave, dengan data on-chain menunjukkan kira-kira $25 juta nilai ETH dibekalkan sebagai cagaran berbanding lebih daripada $12 juta dalam DAI yang dipinjam.

Penganalisis on-chain Specter berkongsi garis masa terperinci di X, menyatakan bahawa mangsa mencipta dompet multisig 1-of-1, bermakna ia hanya memerlukan satu tandatangan daripada penandatangan tunggal untuk membenarkan transaksi. Walau bagaimanapun, persediaan ini mengalahkan tujuan utama multisig, iaitu memerlukan pelbagai kelulusan bebas.

Kurang daripada 40 minit selepas memindahkan dana ke dalamnya, dompet menyaksikan aliran keluar besar-besaran yang menguras semua token. Pada masa yang sama, penandatangan ditukar kepada alamat yang dikawal penyerang.

Specter berkata penjelasan yang paling mungkin ialah kunci peribadi bocor semasa persediaan atau mangsa bergantung kepada pihak ketiga berniat jahat untuk bantuan mencipta dompet. Siaran kemudian, memetik penyelidik tanuki42, mencadangkan penyerang mungkin telah mencipta multisig sendiri, meninggalkan mangsa terdedah semasa dan selepas persediaan.

Corak Biasa dalam Kegagalan Keselamatan Kripto

Insiden ini sesuai dengan corak kecurian kunci peribadi dan kejuruteraan sosial yang lebih luas yang terus melanda sektor kripto. Dalam laporan 15 Disember, kumpulan keselamatan siber Security Alliance memberi amaran bahawa penggodam berkaitan Korea Utara menjalankan panggilan Zoom dan Teams palsu harian untuk menanam perisian hasad dan mencuri kunci peribadi, kaedah yang terikat dengan ratusan juta dolar kerugian.

Pengasas Binance Changpeng Zhao mengeluarkan amaran serupa pada September, mengatakan penyerang semakin menyasarkan kepercayaan manusia berbanding kelemahan kontrak pintar, sering menyamar sebagai pembantu, calon pekerjaan, atau hos mesyuarat.

Sejarah on-chain menunjukkan paus telah aktif selama berbulan-bulan sebelum penggodaman. Pada 7 Mei, Onchain Lens melaporkan bahawa alamat yang sama telah mengeluarkan lebih 2,500 ETH daripada OKX dan mempertaruhkan dana melalui Kiln Finance, secara berterusan membina kedudukan ETH yang besar.

Buat masa ini, kawalan berterusan penyerang ke atas kedudukan Aave menambah satu lagi lapisan risiko. Jika pasaran bergerak secara mendadak, pembubaran paksa boleh memperdalamkan kerugian, mengubah pelanggaran yang sudah mahal menjadi pengajaran yang lebih keras tentang keselamatan multisig dan pengendalian kunci peribadi.

Siaran Crypto Whale Loses $38M in Multisig Exploit muncul pertama kali di CryptoPotato.