Krypto-wieloryb traci 38 mln USD w wyniku exploitu multisig

Kryptowalowy potentat stracił około 38 milionów dolarów po tym, jak atakujący przejął kontrolę nad portfelem multisig i po cichu opróżnił jego środki wcześniej dzisiaj.

Sprawa przyciąga baczną uwagę, ponieważ atakujący nie tylko przeniósł aktywa przez Tornado Cash, ale również zachował kontrolę nad lewarowaną pozycją DeFi powiązaną ze skompromitowanym portfelem.

Multisig opróżniony po kompromitacji klucza prywatnego

Firma zajmująca się bezpieczeństwem blockchain PeckShield poinformowała na X 18 grudnia, że portfel potentata został opróżniony po ujawnieniu klucza prywatnego, prowadząc do strat w wysokości około 27,3 miliona dolarów na pierwszy rzut oka. Dalsze śledzenie on-chain wykazało, że całkowite straty wzrosły do blisko 38 milionów dolarów, gdy uwzględniono powiązane portfele i pozycje.

Według PeckShield, atakujący wysłał już 4 100 ETH o wartości około 12,6 miliona dolarów przez Tornado Cash w widocznym wysiłku zatarcia śladów. Około 2 miliony dolarów pozostają w płynnych aktywach. Co bardziej niepokojące, atakujący wciąż kontroluje adres ofiary, który utrzymuje lewarowaną długą pozycję na Aave, przy czym dane on-chain pokazują około 25 milionów dolarów wartości ETH dostarczonego jako zabezpieczenie pod ponad 12 milionów dolarów pożyczonego DAI.

Analityk on-chain Specter udostępnił szczegółową oś czasu na X, zauważając, że ofiara utworzyła portfel multisig 1-z-1, co oznacza, że wymagał tylko jednego podpisu od jednego sygnatariusza do autoryzacji transakcji. Jednak ta konfiguracja zaprzeczyła podstawowemu celowi multisig, którym jest wymaganie wielu niezależnych zatwierdzeń.

Niecałe 40 minut po przelewie środków do niego, portfel odnotował masowy odpływ, który opróżnił wszystkie tokeny. Mniej więcej w tym samym czasie sygnatariusz został przełączony na adres kontrolowany przez atakującego.

Specter powiedział, że najbardziej prawdopodobnym wyjaśnieniem jest to, że klucz prywatny wyciekł podczas konfiguracji lub że ofiara polegała na złośliwej stronie trzeciej w celu pomocy przy tworzeniu portfela. Późniejszy wpis, cytujący badacza tanuki42, sugerował, że atakujący mógł sam utworzyć multisig, pozostawiając ofiarę narażoną zarówno podczas, jak i po konfiguracji.

Znajomy wzorzec w niepowodzeniach bezpieczeństwa krypto

Incident wpisuje się w szerszy wzorzec kradzieży kluczy prywatnych i inżynierii społecznej, która nadal nękają sektor krypto. W raporcie z 15 grudnia grupa cyberbezpieczeństwa Security Alliance ostrzegła, że hakerzy powiązani z Koreą Północną przeprowadzają codziennie fałszywe rozmowy Zoom i Teams, aby podrzucać złośliwe oprogramowanie i kraść klucze prywatne – metoda powiązana ze stratami setek milionów dolarów.

Założyciel Binance Changpeng Zhao wydał podobne ostrzeżenie we wrześniu, mówiąc, że atakujący coraz częściej atakują ludzkie zaufanie zamiast luk w smart contractach, często podszywając się pod pomocników, kandydatów do pracy lub gospodarzy spotkań.

Historia on-chain pokazuje, że potentat był aktywny przez miesiące przed włamaniem. 7 maja Onchain Lens poinformował, że ten sam adres wypłacił ponad 2 500 ETH z OKX i zestakował środki przez Kiln Finance, systematycznie budując dużą pozycję ETH.

Na razie ciągła kontrola atakującego nad pozycją Aave dodaje kolejną warstwę ryzyka. Jeśli rynki gwałtownie się zmienią, wymuszone likwidacje mogą pogłębić straty, przekształcając i tak już kosztowne naruszenie w jeszcze ostrzejszą lekcję na temat bezpieczeństwa multisig i obsługi kluczy prywatnych.

Post Kryptowalowy potentat traci 38 milionów dolarów w exploicie Multisig pojawił się najpierw na CryptoPotato.