Unleash Protocol 週二披露遭駭損失 1,337 枚 ETH 價值 400 萬美元。Peckshield 和 CertiK 追蹤顯示,駭客透過 Tornado Cash 洗錢,已將多筆 100 ETH 發至混幣服務。攻擊者未經授權獲得多簽治理系統控制權,可能透過社會工程執行未批准的合約升級,繞過檢查取錢。
Tornado Cash 洗錢追蹤實錄
根據鏈上動態和多家安全公司的報告,駭客正試圖利用以太坊上的 Tornado Cash 協議進行洗錢。Tornado Cash 是一個加密貨幣混幣服務,透過將多個用戶的資金混合在一起,切斷資金來源與目的地之間的可追蹤連結,使得執法機構難以追蹤資金流向。
Peckshield 指出,攻擊者似乎已將許多 100 ETH 的區塊發送到了這家流行的加密貨幣混合服務商。這種分批轉移的策略是典型的洗錢手法,因為一次性轉移大額資金更容易被監控系統標記。將 1,337 枚 ETH 拆分成 13 至 14 筆 100 ETH 的交易,每筆交易之間間隔一定時間,可以降低被即時發現的風險。
CertiK 開始標記可疑的 Wrapped ETH 和 IP 代幣提款,這些提款被發送到一個外部擁有的帳戶,該帳戶似乎是使用 SafeProxyFactory 設定的。這種技術細節揭示了駭客的專業程度,SafeProxyFactory 是 Gnosis Safe(現稱 Safe)的合約工廠,用於部署新的多簽錢包。駭客使用這種工具創建臨時錢包接收贓款,顯示其對以太坊生態系統有深入理解。
受影響的資產包括在製品(WIP)、USDC、WETH、stIP 和 vIP,其中大部分已被橋接到以太坊並發送到 Tornado Cash。橋接過程本身就增加了追蹤難度,因為資產在跨鏈過程中會經過多個合約和地址,每一次轉移都會稀釋追蹤線索。一旦進入 Tornado Cash,資金將與其他用戶的存款混合,形成一個「黑盒」,輸出端的資金無法與輸入端對應。
值得注意的是,Tornado Cash 自 2022 年被美國財政部制裁後,使用該服務本身就構成違法行為。然而,制裁並未完全阻止其運作,因為 Tornado Cash 是基於智能合約的去中心化協議,無法像中心化服務那樣被關閉。駭客願意冒著法律風險使用 Tornado Cash,顯示其對追蹤技術的警惕程度。
多簽治理系統如何被攻破
週二早些時候,Unleash 披露了一起安全漏洞事件。該計畫已暫停運營,並開始對此攻擊進行取證分析,攻擊似乎源自於多重簽章機制遭到破壞。Unleash 在 X 上寫道:「我們的初步調查顯示,一個外部擁有的地址通過 Unleash 的多重簽名治理獲得了管理控制權,並進行了未經授權的合約升級。」
換句話說,攻擊者未經授權獲得了對 Unleash Protocol 治理系統的管理控制權,可能是透過社會工程網路釣魚計劃或其他安全漏洞,從而使他們能夠執行繞過正常檢查的升級,從協議中提取用戶資金。這種攻擊模式在 DeFi 領域並不罕見,但其成功突破多簽機制仍然引發關注。
多簽錢包(Multi-Signature Wallet)是 DeFi 協議中最常見的資產保護機制。它要求多個私鑰持有者共同簽署才能執行交易,理論上即使單一私鑰被竊,駭客仍無法盜取資金。然而,這次攻擊顯示多簽機制並非絕對安全。
多簽機制失效的三種可能
社會工程攻擊:駭客透過釣魚郵件或偽造訊息誘騙多個簽署者洩露私鑰
內部人員作惡:持有多簽私鑰的內部人員串謀或被收買,主動配合駭客
合約漏洞利用:多簽合約本身存在程式碼漏洞,允許攻擊者繞過簽署要求
Unleash 的聲明強調「外部擁有的地址」獲得了控制權,暗示這可能不是內部人員作惡,而是外部攻擊者透過技術或社會工程手段獲取了足夠的簽署權限。此次升級使得資產提取未經 Unleash 團隊批准,並且發生在預期的治理和操作程序之外,顯示駭客掌握了完整的管理權限。
Story Protocol 生態安全警示
Unleash 表示:「該事件源於 Unleash 協議的治理和權限框架」,並補充說「影響似乎僅限於 Unleash 特有的合約和管理控制」,並且「沒有證據表明 Story Protocol 合約、驗證者或底層基礎設施受到損害」。這種聲明試圖將損害範圍限制在 Unleash 本身,避免波及整個 Story Protocol 生態。
Unleash 是基於 Story Protocol 所建構的眾多知名應用程式之一。Story Protocol 是一個相對較新的 Layer 1 協議,專注於代幣化智慧財產權的應用場景。Story 背後的 PIP Labs 已累積融資 1.4 億美元,投資者包括多家頂級創投。若此次洗錢事件導致市場對 Story Protocol 生態系統安全性的質疑,可能影響其他基於該協議的應用和整體估值。
Unleash 團隊已警告用戶不要與協議進行交互,並表示一旦獲得可靠信息,將立即分享有關此次攻擊和潛在補救措施的最新消息。協議暫停運營是標準應對措施,可以防止駭客進一步利用漏洞盜取資金,但也意味著合法用戶暫時無法存取其資產。
從更廣泛的角度看,這次洗錢事件再次暴露了 DeFi 協議的治理風險。多簽機制雖然比單簽更安全,但仍然依賴於人的操作,而人是最容易被攻擊的環節。隨著 DeFi 鎖倉價值不斷增長,針對治理系統的攻擊可能變得更加頻繁和複雜。
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
