400万ドルのイーサリアムが盗まれる！ハッカーのマネーロンダリング全過程を公開、多署名機構が破られる

Unleash Protocolは火曜日に、ハッキングで1,337 ETH相当40万ドルを失ったことを明らかにしました。 PeckshieldとCertiKの追跡調査によると、ハッカーはTornado Cashを通じて資金洗浄を行い、複数の100 ETHをミキシングサービスに送金していました。 攻撃者はマルチシグガバナンスシステムを不正に支配し、ソーシャルエンジニアリングを通じて未承認の契約アップグレードを行い、チェックを回避して資金を引き出すことができます。

Tornado Cashマネーロンダリングの追跡記録

オンチェーンの動態や複数のセキュリティ企業の報告によると、ハッカーはイーサリアム上のTornado Cashプロトコルをマネーロンダリングに利用しようとしています。 Tornado Cashは、複数のユーザーの資金を混ぜることで法執行機関が資金の流れを追跡しにくくする暗号通貨ミキシングサービスであり、送信元と宛先間の追跡可能なリンクを断ち切っています。

Peckshieldは、攻撃者が人気の暗号通貨ミキシングサービスに多数の100ETHブロックを送ったようだと指摘しました。 このバッチで送金する戦略はマネーロンダリングに典型的で、大量の資金が一度に送金されると監視システムにより検出されやすくなります。 1,337 ETHを13〜14,100 ETHの取引に分割し、各取引の間に一定の間隔を設けることで、即時検出のリスクを減らします。

CertiKは、SafeProxyFactoryを使って設定されたと思われる外部所有アカウントに送られた、疑わしいWrapped ETHおよびIPトークンの出金を検出し始めました。 この技術的詳細は、SafeProxyFactory(Gnosis Safe(現在のSafe)の契約工場であるSafeProxyFactoryによる新しいマルチシグウォレットの展開に関する専門知識を示しています。 ハッカーはこのツールを使って一時的なウォレットを作成し、盗まれた資金を受け取ることで、イーサリアムエコシステムを深く理解していることを示しています。

影響を受ける資産にはWork in Progress(WIP)、USDC、WETH、stIP、vIPが含まれ、その多くはEthereumにブリッジされTornado Cashに送られています。 ブリッジングプロセス自体が追跡の難しさを増します。なぜなら、クロスチェーンプロセス中に複数の契約やアドレスを経由する資産が移動するため、各移管が追跡の軌跡を希釈してしまうからです。 一度Tornado Cashに入ると、資金は他のユーザーの預金と混ざり合い、「ブラックボックス」が形成され、出力時の資金が入力に対応できません。

2022年に米国財務省から制裁を受けた後、Tornado Cashのサービス利用自体が違反行為となることは重要な点です。 しかし、制裁によって完全に機能が妨げられたわけではなく、Tornado Cashはスマートコントラクトに基づく分散型プロトコルであり、中央集権サービスのように停止することはできません。 ハッカーが法的リスクを負ってTornado Cashを使うことをいとわないことは、技術追跡にどれほど厳重であるかを示しています。

マルチシグネチャーガバナンスシステムの破綻方法

火曜日の早い時間に、Unleashはセキュリティ侵害の事件を明らかにしました。 プロジェクトは運用を停止し、多重署名メカニズムの侵害に起因する攻撃の法医学的分析を開始しています。 「我々の初期調査では、外部所有のアドレスがUnleashのマルチシグネチャガナンスを通じて管理権限を獲得し、無許可の契約アップグレードを行ったことが判明しました」とUnleashはXに書いています。

言い換えれば、攻撃者はUnleash Protocolのガバナンスシステムの不正な管理権を得ており、ソーシャルエンジニアリングによるフィッシングスキームやその他のセキュリティ脆弱性によって、通常のチェックを回避してプロトコルからユーザー資金を引き出すアップグレードを行ったのです。 この攻撃パターンはDeFi分野で珍しくありませんが、マルチシグネチャメカニズムの成功したブレークスルーは依然として注目を集めています。

マルチシグネチャーウォレットはDeFiプロトコルにおける最も一般的な資産保護メカニズムです。 取引を実行するには複数の秘密鍵保有者が共同署名しなければならず、理論的にはたとえ単一の秘密鍵が盗まれても、ハッカーは資金を盗むことはできません。 しかし、この攻撃はマルチシグネチャ機構が絶対に誤りのないものではないことを示しています。

マルチシグネチャ機構の失敗の可能性は3つあります

ソーシャルエンジニアリング攻撃ハッカーは複数の署名者を騙して、フィッシングメールや偽造メッセージを通じて秘密鍵を明かさせます

内部者は悪事を働く:多重署名の秘密鍵を持つ内部者が共謀したり賄賂を受け取り、ハッカーと積極的に協力した

契約の利用: マルチシグネチャー契約自体にはコードの脆弱性があり、攻撃者が署名要求を回避できる

Unleashの声明は、「外部所有のアドレス」が支配権を握っていることを強調しており、これは内部者の悪ではなく、外部攻撃者が技術的または社会的工学によって十分な署名許可を得ている可能性を示唆しています。 このアップグレードにより、資産引き出しはUnleashチームの承認を受けず、意図されたガバナンスや運用手順の範囲外で行われ、ハッカーが完全な管理権限を持っていたことを示しています。

ストーリープロトコル 生態学的セキュリティアラート

「このインシデントはUnleashプロトコルのガバナンスおよび許可枠組みに起因した」とUnleashは述べ、「影響はUnleash固有の契約および管理管理に限定されているようだ」と付け加え、「ストーリープロトコル契約、バリデーター、基盤インフラが侵害された証拠はない」と述べました。 この声明は、Unleash自体への被害の範囲を限定し、ストーリープロトコル全体のエコシステムに影響を与えないようにしようとしています。

Unleashは、Story Protocolを基に構築された多くの有名なアプリケーションの一つです。 ストーリープロトコルは、トークン化された知的財産の適用シナリオに焦点を当てた比較的新しいレイヤー1プロトコルです。 ストーリーの背後にあるPIPラボスは、複数のトップベンチャーキャピタリストを含む投資家を含み、14億ドルを調達しました。 もしこのマネーロンダリング事件がストーリープロトコルエコシステムの安全性に市場に疑問を投げかければ、他のアプリケーションやプロトコルに基づく全体的な評価に影響を与える可能性があります。

Unleashチームはユーザーにプロトコルへの関与を警告し、信頼できる情報が得られ次第、攻撃の最新情報や潜在的な対策を共有すると述べています。 プロトコルの運用停止は、ハッカーがさらなる脆弱性を悪用して資金を盗むのを防ぐための標準的な対応ですが、正当なユーザーが一時的に資産にアクセスできなくなることも意味します。

より広い視点から見ると、このマネーロンダリング事件は再びDeFiプロトコルのガバナンスリスクを露呈させました。 マルチシグネチャの仕組みは単一署名よりも安全ですが、依然として人間の操作に依存しており、人間が最も攻撃に脆弱です。 DeFiステーキングの価値が高まるにつれて、ガバナンスシステムへの攻撃はより頻繁かつ高度になる可能性が高いです。