Bitcoin Addict - ข่าวสารและบทความคริปโต

แฮ็กเกอร์ Unleash เริ่มฟอก 1,337 ETH ผ่าน Tornado Cash หลังดูดเงินราว $3.9M จากโปรโตคอล
31 December 2025ข่าวโดย Rawiwarn Owattasanee
#Ethereum

แฮ็กเกอร์ Unleash เริ่มฟอก 1,337 ETH ผ่าน Tornado Cash หลังดูดเงินราว $3.9M จากโปรโตคอล

เกิดเหตุความปลอดภัยในวงการ DeFi อีกครั้ง หลัง Unleash Protocol เปิดเผยว่าเกิดการโจมตีจนทำให้สูญเสียทรัพย์สินรวมราว $3.9 ล้าน และล่าสุดพบว่าแฮ็กเกอร์เริ่ม ฟอกเงินประมาณ 1,337 ETH (เกือบ $4 ล้าน) ผ่านบริการผสมธุรกรรม Tornado Cash บนเครือข่าย Ethereum 

 

Unleash ระบุว่าโปรเจกต์ได้ หยุดการทำงาน (pause) และเริ่มทำ forensic analysis เพื่อไล่ตรวจสอบต้นตอของการโจมตี โดยเบื้องต้น “เข้าข่าย multisig ถูก compromise” จนผู้โจมตีสามารถยึดสิทธิการควบคุมเชิงแอดมินและทำสิ่งที่ทีมไม่ได้อนุมัติได้ 

 

วิธีโจมตี: ยึดอำนาจผ่าน multisig แล้ว “อัปเกรดสัญญา” เพื่อถอนเงิน

 

จากคำชี้แจงของทีม Unleash จุดสำคัญคือมี externally owned address (EOA) ได้สิทธิ administrative control ผ่านระบบกำกับดูแลแบบ multisig ของ Unleash จากนั้นทำ unauthorized contract upgrade ที่ “ข้ามขั้นตอนตรวจสอบตามปกติ” ส่งผลให้สามารถถอนทรัพย์สินออกจากโปรโตคอลได้โดยไม่ได้รับอนุมัติ

 

ภาพรวมพูดง่าย ๆ: คนร้ายไม่ได้แค่ขโมยคีย์แล้วถอนทันที แต่ “ยึดสิทธิการควบคุม” แล้วปรับสัญญาให้ถอนเงินได้แบบถูกทางเทคนิค

 

ทรัพย์สินที่กระทบ และเส้นทางฟอกเงิน

 

รายงานระบุว่าสินทรัพย์ที่ได้รับผลกระทบมีทั้ง WIP (Wrapped), USDC, WETH, stIP และ vIP โดยส่วนใหญ่ถูก บริดจ์ไปยัง Ethereum ก่อนถูกส่งต่อเข้า Tornado Cash เพื่อทำให้ตามรอยยากขึ้น

 

ด้านบริษัทความปลอดภัยอย่าง PeckShield ระบุว่าผู้โจมตีมีพฤติกรรม ทยอยฝากเข้า Tornado Cash เป็นก้อน ๆ (เช่นชุดละ 100 ETH หลายครั้ง) ซึ่งเป็นแพตเทิร์นที่มักใช้เพื่อทำให้เส้นทางเงินซับซ้อนขึ้น 

 

ขณะที่ CertiK รายงานพบการถอนที่น่าสงสัยของ WETH และ IP tokens ไปยังบัญชี EOA ที่ดูเหมือนถูกตั้งค่าผ่าน SafeProxyFactory 

 

Unleash ย้ำ: ไม่พบหลักฐานว่า Story Protocol โดนเจาะ

 

Unleash ระบุว่าเหตุการณ์นี้ “เกิดในกรอบ governance/permission ของ Unleash” และ ยังไม่มีหลักฐาน ว่าเกิดการ compromise ต่อ Story Protocol contracts, validators หรือโครงสร้างพื้นฐานหลัก

 

Unleash ถือเป็นหนึ่งในแอปที่ค่อนข้างเด่นบน Story Protocol ซึ่งเป็น L1 โฟกัส use case ด้าน tokenized intellectual property (IP) และทีมพัฒนาอย่าง PIP Labs เคยระดมทุนรวม $140 ล้าน 

 

สิ่งที่ผู้ใช้ควรทำตอนนี้

 

Unleash เตือนผู้ใช้ให้ หลีกเลี่ยงการทำธุรกรรม/เชื่อมต่อกับโปรโตคอล ระหว่างรอการอัปเดต และจะประกาศแนวทางแก้ไข/เยียวยาเมื่อมีข้อมูลที่เชื่อถือได้

 

อ้างอิง : theblock.co

ภาพ news.bitcoin.com