ในฐานะนักวิจัยที่มีประสบการณ์มากกว่าสองทศวรรษในขอบเขตความปลอดภัยทางไซเบอร์และสกุลเงินดิจิทัล ฉันพบว่าการแฮ็ก Penpie และผลที่ตามมาที่เกี่ยวข้องอย่างลึกซึ้ง การฟอกเงินอย่างรวดเร็วจำนวน 27 ล้านดอลลาร์ใน Ethereum ผ่าน Tornado Cash เน้นย้ำจุดอ่อนอย่างต่อเนื่องที่ยังคงมีอยู่ในแพลตฟอร์ม DeFi ซึ่งเป็นเรื่องที่นักพัฒนา นักลงทุน หรือหน่วยงานกำกับดูแลไม่ควรมองข้าม
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่เรียกว่า Penpie ถูกกล่าวหาว่าทำความสะอาด Ethereum มูลค่า 27 ล้านดอลลาร์โดยใช้บริการผสม Tornado Cash ที่ใช้กันอย่างแพร่หลาย หลังจากการโจมตีทางไซเบอร์เมื่อวันที่ 4 กันยายน 2024 เหตุการณ์นี้เน้นย้ำถึงช่องโหว่ที่ยังคงมีอยู่ภายในระบบ Decentralized Finance (DeFi) ในความเป็นจริง การโอนเงินอย่างรวดเร็วโดยแฮกเกอร์รายนี้ทำให้เกิดความกังวลเกี่ยวกับความสามารถในการติดตามทรัพย์สินที่ถูกขโมยในขอบเขตของสกุลเงินดิจิทัล
การฟอกเงินอย่างรวดเร็วก่อให้เกิดความกังวล
ภายในไม่กี่ชั่วโมงหลังจากการแฮ็ก อาชญากรไซเบอร์ของ Penpie ได้โอนเงินประมาณ 7 ล้านเหรียญสหรัฐผ่าน Tornado Cash กิจกรรมของพวกเขายังไม่สิ้นสุด ในความเป็นจริง พวกเขาดำเนินการย้ายจำนวนมากในช่วงเวลาปกติเป็นเวลาหลายวัน เมื่อสิ้นสุดช่วงเวลานี้ มีการโอน 11,261 ETH ที่น่าประทับใจ (มูลค่าประมาณ 26.7 ล้านดอลลาร์) ได้ถูกโอนไปแล้ว
การทำงานที่รวดเร็วนั้นเป็นเรื่องที่น่าอัศจรรย์อย่างยิ่ง และด้วยมาตรการรักษาความปลอดภัยที่ตั้งค่าไว้สำหรับโปรโตคอล DeFi หลายคนในชุมชน crypto พบว่ามันยากที่จะเชื่อความเร็วดังกล่าว
บริษัทพยายามเจรจากับแฮ็กเกอร์ โดยเสนอรางวัลและความรอดพ้นจากการดำเนินคดีหากพวกเขาช่วยเหลือ นอกจากนี้ พวกเขายังแนะนำให้จ้างแฮ็กเกอร์เป็นแฮ็กเกอร์ที่มีจริยธรรมหรือผู้ทดสอบความปลอดภัยแบบ “หมวกขาว” ซึ่งมีบทบาทในการค้นหาจุดอ่อนของซอฟต์แวร์เพื่อรายงานกลับไปยังบริษัทที่เกี่ยวข้อง
แฮกเกอร์สี่คนส่ง 20,561 $ETH ($49.3M) ไปยัง #TornadoCash ตั้งแต่ต้นเดือนกันยายน!
หากต้องการเน้นในกลุ่มแฮ็กเหล่านี้:
— Spot On Chain (@spotonchain) วันที่ 8 กันยายน 2024
แม้ว่าการเจรจาจะมีจุดประสงค์เพื่อจำกัดความเสียหายและป้องกันการฟ้องร้อง แต่แฮ็กเกอร์กลับเพิกเฉยต่อข้อเสนอและโอนเงิน 27 ล้านดอลลาร์ที่ถูกขโมยไปอย่างผิดกฎหมายโดยใช้ Tornado Cash แทน
ในฐานะนักลงทุน crypto ฉันตระหนักดีว่าความเสี่ยงที่เกี่ยวข้องกับแพลตฟอร์มแบบกระจายอำนาจนั้นสูงขึ้นอย่างมาก เนื่องจากแฮ็กเกอร์ให้ความสำคัญกับการใช้ประโยชน์จากระบบเหล่านี้สำหรับกิจกรรมที่ผิดกฎหมาย เช่น การฟอกเงินผ่านเครื่องมือความเป็นส่วนตัว เช่น Tornado Cash
ในบริบทที่กว้างขึ้น เหตุการณ์การแฮ็ก Penpie เกี่ยวข้องกับกลุ่มแฮ็กอย่างน้อยสี่กลุ่มที่ได้ย้ายมากกว่า 20,561 Ether (ประมาณ 49.3 ล้านดอลลาร์) โดยใช้ Tornado Cash ตั้งแต่ต้นเดือนกันยายน
เพนพายแฮ็กเกอร์: ภาพใหญ่
ผลกระทบของเหตุการณ์เหล่านี้ขยายไปไกลกว่าความเสียหายทางการเงิน ทำให้เกิดความกังวลอย่างมากเกี่ยวกับอนาคตของ Decentralized Finance (DeFi) และความสมดุลที่ละเอียดอ่อนระหว่างความเป็นส่วนตัวและความปลอดภัย Tornado Cash ซึ่งเดิมมีจุดประสงค์เพื่อให้ผู้ใช้ไม่เปิดเผยตัวตน ปัจจุบันทำหน้าที่เป็นเครื่องมือสองด้าน
โดยพื้นฐานแล้ว การกระทำของแฮ็กเกอร์ Penpie เน้นย้ำถึงความไม่เพียงพอของมาตรการรักษาความปลอดภัยในปัจจุบันในภาค DeFi เนื่องจากไม่สามารถป้องกันหรือบรรเทาการโจมตีทางไซเบอร์ดังกล่าวได้อย่างมีประสิทธิภาพ การฟอกเงินอย่างรวดเร็วผ่านบริการอย่าง Tornado Cash ก่อให้เกิดความเสี่ยงที่สำคัญต่อความสมบูรณ์โดยรวมของตลาดสกุลเงินดิจิทัล
การแก้ไขช่องว่างที่เราเห็นเป็นสิ่งสำคัญ และการทำเช่นนั้นจำเป็นต้องได้รับความร่วมมือระหว่างนักพัฒนา นักลงทุน และหน่วยงานกำกับดูแลเพื่อควบคุมปัญหาที่ทวีความรุนแรงขึ้นนี้
#EulerFinance Exploiter ส่ง 1 ข้อความถึง #Penpiexyz Exploiter
— PeckShieldAlert (@PeckShieldAlert) วันที่ 6 กันยายน 2024
พร้อมกันนี้ เพื่อแสดงความภาคภูมิใจของเขา ผู้กระทำผิดที่อยู่เบื้องหลังการโจมตีด้วยเงินกู้แฟลชมูลค่า 195 ล้านดอลลาร์ต่อ Euler Finance ในเดือนมีนาคม 2023 ได้ส่งข้อความบนบล็อคเชนไปยังแฮ็กเกอร์ เขาชมโจรคู่หูที่ไม่คืนเงินพร้อมแสดงความเห็นชอบโดยกล่าวว่า
เยี่ยมมากเพื่อน! กลยุทธ์ของคุณเป็นสิ่งที่สดใหม่ที่ฉันไม่ได้เห็นมาระยะหนึ่งแล้ว เป็นเรื่องดีที่เห็นว่าคุณสามารถรักษารายได้ทั้งหมดไว้ได้และไม่ปล่อยให้พวกเขาฟื้นตัวแม้แต่สตางค์เดียว พวกเขาแพ้ คุณก็ชนะ ทำได้ดี!
Sorry. No data so far.
2024-09-09 15:42