4 мільйони доларів США вкрадено з Ethereum! Повністю викрито процес відмивання грошей хакерами, механізм мультипідпису зламано

Unleash Protocol вівторка повідомив про втрату 1 337 ETH на суму 4 мільйони доларів унаслідок хакерської атаки. Peckshield і CertiK відстежили, що хакери через Tornado Cash відмивали гроші, переказуючи кілька транзакцій по 100 ETH на сервіс змішування. Зловмисники отримали несанкціонований контроль над системою мультипідписного управління, ймовірно, шляхом соціальної інженерії для виконання неавторизованих оновлень контрактів, обходячи перевірки для зняття коштів.

Запис відстеження відмивання через Tornado Cash

Згідно з даними з блокчейну та звітами кількох безпекових компаній, хакери намагаються використовувати протокол Tornado Cash на Ethereum для відмивання грошей. Tornado Cash — це сервіс змішування криптовалюти, який шляхом змішування коштів кількох користувачів розриває зв’язки між джерелом і призначенням коштів, ускладнюючи правоохоронцям відстеження руху грошей.

Peckshield зазначає, що зловмисники, ймовірно, вже відправили багато транзакцій по 100 ETH до популярного сервісу змішування. Така стратегія пакетних переказів є типовою для відмивання грошей, оскільки одноразові великі перекази легше відстежити. Розбиття 1 337 ETH на 13–14 транзакцій по 100 ETH з інтервалами зменшує ризик швидкого виявлення.

CertiK почала маркувати підозрілі зняття Wrapped ETH і IP токенів, які надходять на зовнішній акаунт, ймовірно, створений за допомогою SafeProxyFactory. Ця технічна деталь демонструє рівень професіоналізму хакерів: SafeProxyFactory — це фабрика контрактів для розгортання нових мультипідписних гаманців Gnosis Safe (зараз Safe). Зловмисники використовують цю технологію для створення тимчасових гаманців для отримання крадених коштів, що свідчить про глибоке розуміння екосистеми Ethereum.

Загальні активи, що постраждали, включають WIP, USDC, WETH, stIP і vIP, більша частина яких вже була перекинута через мост на Ethereum і відправлена до Tornado Cash. Процес мосту ускладнює відстеження, оскільки активи проходять через кілька контрактів і адрес під час міжланцюгових переказів, що розмиває сліди. Після потрапляння до Tornado Cash кошти змішуються з іншими депозитами, утворюючи «чорний ящик», і вихідні кошти вже не можна прив’язати до вхідних.

Варто зазначити, що з 2022 року Tornado Cash під санкціями Мінфіну США, використання цього сервісу вже є протиправним. Однак санкції не зупинили його роботу, оскільки Tornado Cash — децентралізований протокол на основі смарт-контрактів, який не можна закрити так само, як централізовані сервіси. Зловмисники готові ризикувати юридичними наслідками, використовуючи Tornado Cash, що свідчить про їхню обережність щодо технологій відстеження.

Як було зламано мультипідписну систему управління

Ранком у вівторок Unleash повідомив про виявлення вразливості. Проєкт тимчасово припинив роботу і почав розслідування інциденту, який, ймовірно, був викликаний зломом мультипідписного механізму. У твітері Unleash написано: «Попереднє розслідування показує, що зовнішній акаунт отримав управління через мультипідписне управління Unleash і виконав неавторизоване оновлення контракту.»

Інакше кажучи, зловмисники отримали несанкціонований контроль над системою управління Unleash Protocol, ймовірно, через соціальну інженерію або інші вразливості безпеки, що дозволило їм виконати оновлення, обхідні перевірки, і вивести кошти користувачів. Такий сценарій у DeFi не є рідкістю, але успішне злом мультипідписної системи викликає занепокоєння.

Мультипідписні гаманці (Multi-Signature Wallet) — найпоширеніший механізм захисту активів у DeFi. Вони вимагають підпису кількох приватних ключів для виконання транзакції, тому навіть при крадіжці одного ключа зловмисник не зможе вкрасти кошти. Однак цей випадок показує, що мультипідписні системи не є абсолютною гарантією безпеки.

Три можливі причини несправності мультипідпису

Соціальна інженерія: зловмисники через фішингові листи або підроблені повідомлення змушують кількох підписантів розкривати приватні ключі

Внутрішні зловживання: співробітники, що мають мультипідписні ключі, змовляються або підкуплені, співпрацюючи з хакерами

Вразливості контракту: у самому мультипідписному контракті є помилки у коді, що дозволяють зловмисникам обходити вимоги до підписів

Заява Unleash підкреслює, що «зовнішній акаунт» отримав контроль, натякаючи, що це може бути не внутрішній злом, а зовнішня атака, яка через технічні або соціальні методи отримала достатньо прав для управління. Оновлення дозволило зняти кошти без дозволу команди, і сталося поза межами звичайних процедур управління, що свідчить про повний контроль зловмисників.

Попередження щодо безпеки екосистеми Story Protocol

Unleash заявив: «Цей інцидент виник через систему управління та прав доступу протоколу Unleash», і додав, що «загроза, ймовірно, обмежена саме контрактами та управлінням Unleash», і «немає доказів пошкодження контрактів Story Protocol, валідаторів або базової інфраструктури». Це намагається обмежити масштаб шкоди саме до Unleash і не поширюватися на всю екосистему Story Protocol.

Unleash — один із численних застосунків, побудованих на базі Story Protocol. Це відносно новий Layer 1 протокол, орієнтований на токенізацію інтелектуальної власності. За даними PIP Labs, що стоять за Story, вони залучили 1.4 млрд доларів інвестицій, серед яких провідні венчурні фонди. Якщо цей інцидент викличе сумніви щодо безпеки екосистеми Story Protocol, це може негативно вплинути на інші застосунки і загальну оцінку.

Команда Unleash закликає користувачів не взаємодіяти з протоколом і обіцяє, що при отриманні достовірної інформації надасть оновлення щодо інциденту та можливих заходів. Тимчасова зупинка роботи — стандартна міра для запобігання подальшому викраденню коштів, але вона також означає, що легальні користувачі тимчасово не зможуть отримати доступ до своїх активів.

З ширшої перспективи, цей випадок з відмиванням знову підкреслює ризики управління у DeFi. Мультипідписні механізми більш безпечні за один підпис, але все одно залежать від людського фактору. Зі зростанням вартості заблокованих у DeFi активів, атаки на системи управління можуть ставати частішими і складнішими.