4 миллиона долларов США в Ethereum украдены! Полный процесс отмывания денег хакерами раскрыт, механизм мультиподписей взломан

Unleash Protocol во вторник сообщил о потере 1,337 ETH стоимостью 4 миллиона долларов из-за взлома. Peckshield и CertiK отслеживают, что хакеры через Tornado Cash отмывали деньги, отправляя несколько транзакций по 100 ETH на сервисы микширования. Атакающие получили несанкционированный контроль над системой мультиподписного управления, возможно, с помощью социальной инженерии для выполнения неавторизованных обновлений контрактов, обходя проверки и выводя средства.

Записи отслеживания отмывания через Tornado Cash

Согласно данным блокчейна и отчетам нескольких компаний по безопасности, хакеры пытаются использовать протокол Tornado Cash на Ethereum для отмывания денег. Tornado Cash — это сервис микширования криптовалют, который объединяет средства нескольких пользователей, разрывая связки между источником и получателем, что затрудняет правоохранительным органам отслеживание движения средств.

Peckshield отмечает, что злоумышленники, по всей видимости, отправили множество транзакций по 100 ETH в популярный сервис микширования. Такой поэтапный перевод — типичная схема отмывания денег, поскольку крупные однократные переводы легче отслеживать. Разделение 1,337 ETH на 13–14 транзакций по 100 ETH с интервалами снижает риск немедленного обнаружения.

CertiK начал маркировать подозрительные выводы Wrapped ETH и IP токенов, отправленных на внешний аккаунт, который, судя по всему, был создан с помощью SafeProxyFactory. Эти технические детали показывают профессионализм хакеров: SafeProxyFactory — это фабрика контрактов Gnosis Safe (ныне Safe), используемая для развертывания мультиподписных кошельков. Злоумышленники использовали этот инструмент для создания временных кошельков для получения украденных средств, что свидетельствует о глубоком понимании экосистемы Ethereum.

Затронутые активы включают WIP, USDC, WETH, stIP и vIP, большинство из которых было переведено через мост на Ethereum и отправлено в Tornado Cash. Сам процесс мостинга усложняет отслеживание, так как активы проходят через несколько контрактов и адресов, а каждая транзакция разбавляет следы. После попадания в Tornado Cash средства смешиваются с депозитами других пользователей, образуя «черный ящик», и выводимые средства не могут быть связаны с входящими.

Стоит отметить, что с 2022 года Tornado Cash находится под санкциями Министерства финансов США, использование этого сервиса уже является нарушением закона. Однако санкции не полностью остановили его работу, поскольку Tornado Cash — децентрализованный протокол на базе смарт-контрактов, который невозможно закрыть как централизованный сервис. Хакеры готовы рисковать юридическими последствиями, используя Tornado Cash, что показывает их осведомленность о технологиях отслеживания.

Как был взломан мультиподписной механизм управления

Во вторник утром Unleash сообщил о уязвимости безопасности. Проект был приостановлен, начался сбор доказательств и анализ атаки, которая, судя по всему, связана с нарушением работы мультиподписного механизма. В X Unleash написал: «Наше предварительное расследование показывает, что внешний аккаунт получил контроль над управлением через мультиподписную систему Unleash и произвел несанкционированное обновление контракта.»

Иными словами, злоумышленники получили несанкционированный контроль над системой управления протоколом Unleash, возможно, с помощью социальной инженерии или других уязвимостей, что позволило им выполнить обновление, обходя проверки, и вывести средства пользователей. Такой тип атаки в DeFi не редкость, но успешное нарушение мультиподписной системы вызывает особое беспокойство.

Мультиподписные кошельки (Multi-Signature Wallet) — наиболее распространенный механизм защиты активов в DeFi. Они требуют совместной подписи нескольких владельцев для выполнения транзакции, что теоретически исключает кражу средств при утере одного ключа. Однако эта атака показала, что мультиподписные механизмы не являются абсолютной защитой.

Три возможных сценария отказа мультиподписной системы

Социальная инженерия: хакеры через фишинговые письма или поддельные сообщения заставляют подписантов раскрывать приватные ключи

Внутренние злоумышленники: сотрудники, обладающие мультиподписными ключами, сговариваются или подкуплены, чтобы помочь хакерам

Уязвимости в контракте: сам контракт мультиподписей содержит баги, позволяющие обходить требования подписи

Заявление Unleash подчеркивает, что контроль получил «внешний аккаунт», что подразумевает, что это не обязательно внутренний злоумышленник, а внешний атакующий, получивший доступ с помощью технических или социальных методов. Этот взлом позволил вывести средства без согласия команды, вне рамок обычных процедур управления, что свидетельствует о полном захвате контроля.

Предупреждение по безопасности экосистемы Story Protocol

Unleash заявил: «Инцидент связан с системой управления и правами доступа протокола Unleash», добавив, что «влияние, похоже, ограничено контрактами и управлением, характерными только для Unleash», и «нет доказательств повреждения контрактов Story Protocol, валидаторов или инфраструктуры». Это заявление пытается ограничить масштаб ущерба рамками самого Unleash, избегая распространения на всю экосистему Story Protocol.

Unleash — один из многих известных приложений, построенных на базе Story Protocol. Story Protocol — относительно новая Layer 1 платформа, сосредоточенная на токенизации интеллектуальной собственности. За проектом стоит PIP Labs, которая собрала 1,4 миллиарда долларов инвестиций, включая ведущие венчурные фонды. Если этот инцидент вызовет сомнения в безопасности экосистемы Story Protocol, это может негативно сказаться на других приложениях и общем оценке проекта.

Команда Unleash предупредила пользователей не взаимодействовать с протоколом и пообещала, что при получении надежной информации немедленно предоставит обновления о случившемся и возможных мерах восстановления. Приостановка работы — стандартная мера для предотвращения дальнейших атак и кражи средств, однако это временно ограничивает доступ законных пользователей к их активам.

В более широком контексте этот инцидент вновь выявил риски управления в DeFi. Мультиподписные механизмы хоть и более безопасны, чем одиночные ключи, все равно зависят от человеческого фактора. По мере роста стоимости заблокированных средств в DeFi, атаки на системы управления могут стать более частыми и сложными.