ข้อมูลเชิงลึกที่สำคัญ:
- CertiK เชื่อมโยงเงินฝากใน Tornado Cash ประมาณ 63 ล้านดอลลาร์เข้ากับการรั่วไหลของกระเป๋าเงินดิจิทัลมูลค่า 282 ล้านดอลลาร์เมื่อวันที่ 10 มกราคม
- อย่างน้อย 686 BTC ถูกโอนไปยัง Ethereum และแปลงเป็น ETH ประมาณ 19,600 ETH จากนั้นจึงกระจายไปยังกระเป๋าเงินดิจิทัลต่างๆ
- การแฮ็กครั้งนี้เกี่ยวข้องกับการขโมยวลีรหัสลับ โดยกระเป๋าเงินดิจิทัลดังกล่าวมี Bitcoin ประมาณ 1,459 เหรียญ และ Litecoin มากกว่า 2 ล้านเหรียญ
บริษัทรักษาความปลอดภัยบล็อกเชน CertiK ได้เชื่อมโยงเงินฝากคริปโตประมาณ 63 ล้านดอลลาร์ที่โอนผ่าน Tornado Cash กับการโจรกรรมกระเป๋าเงินดิจิทัลครั้งใหญ่ มูลค่า 282 ล้านดอลลาร์ที่เกิดขึ้นเมื่อวันที่ 10 มกราคม บริษัทกล่าวว่าระบบตรวจสอบของตนตรวจพบการโต้ตอบกับตัวผสมความเป็นส่วนตัวที่ตรงกับการเคลื่อนไหวของเงินทุนหลังจากการโจรกรรม
เหตุการณ์นี้ได้รับความสนใจอย่างมากเนื่องจากมูลค่าความเสียหายที่สูงและความเร็วในการเคลื่อนย้ายทรัพย์สิน
CertiK ติดตามการแลกเปลี่ยนข้ามเครือข่ายจาก Bitcoin ไปยัง Ether
บริษัท CertiK รายงานว่าส่วนหนึ่งของ Bitcoin ที่ถูกขโมยไปนั้นถูกโอนไปยัง Ethereum ก่อนที่จะถูกแปลงเป็น Ether บริษัทกล่าวว่าอย่างน้อย 686 BTC ถูกโอนผ่านการแลกเปลี่ยนข้ามเครือข่าย ส่งผลให้มี ETH ประมาณ 19,600 ETH เข้ามาอยู่ในที่อยู่ Ethereum เดียว จากนั้น Ether เหล่านั้นก็ถูกแบ่งไปยังกระเป๋าเงินดิจิทัลหลายใบในจำนวนที่น้อยลง
รูปแบบการแบ่งเงินเกี่ยวข้องกับการส่ง ETH จำนวนหลายร้อย ETH ต่อไปจากแต่ละที่อยู่ก่อนที่เงินจะเข้าสู่ Tornado Cash บริษัท CertiK ระบุว่าการฝากเงินเข้า Tornado Cash นั้นเชื่อมโยงโดยตรงกับการใช้ช่องโหว่ โดยตัวเลข 63 ล้านดอลลาร์เป็นเพียงส่วนหนึ่งของมูลค่าที่ถูกขโมยทั้งหมด
ถึงกระนั้น การตรวจสอบการไหลของข้อมูลก็แสดงให้เห็นอย่างชัดเจนว่าผู้โจมตีจัดการกับเงินทุนอย่างไรหลังจากที่ระบบถูกบุกรุกในครั้งแรก
ด้วยการเปลี่ยนจากการโอนเงินจาก Bitcoin ไปเป็น Ether แล้วกระจายเงินที่ถือครองไว้ไปยังหลายที่อยู่ ผู้โจมตีจึงสร้างขั้นตอนเพิ่มเติมระหว่างการโจรกรรมและการฝากเงินเข้า Mixer ในขั้นสุดท้าย แต่ละขั้นตอนเพิ่มจำนวนธุรกรรมที่ผู้ตรวจสอบต้องติดตาม ในขณะที่การโอนเงินผ่าน Mixer ลดความสามารถในการติดตามเงินทุนโดยใช้เครื่องมือติดตามบล็อกเชนมาตรฐาน
การฝากเงินสดในช่วงพายุทอร์นาโดทำให้ตรวจสอบย้อนกลับได้ยากขึ้น
ผลการตรวจสอบของ CertiK สอดคล้องกับวิธีการฟอกเงินที่มักพบเห็นหลังจากการโจรกรรมคริปโตครั้งใหญ่ ซึ่งเริ่มต้นบนเชนหนึ่งแล้วเคลื่อนไปยังอีกเชนหนึ่ง มาร์วัน ฮาเชม ซีอีโอของบริษัทรักษาความปลอดภัยบล็อกเชน FearsOff กล่าวว่า กระบวนการดังกล่าวคล้ายกับกลยุทธ์ ที่ใช้ ในการโจรกรรมข้ามเชนที่เกี่ยวข้องกับ Bitcoin และ Litecoin เขาตั้งข้อสังเกตว่าผู้โจมตีใช้ THORswap สำหรับการแปลง Bitcoin เป็น Ether จากนั้นแบ่งสินทรัพย์ออกเป็นส่วนๆ ละประมาณ 400 ETH
หลังจากที่เงินเข้าสู่ระบบ Tornado Cash แล้ว การติดตามตรวจสอบก็ยากขึ้นมาก ระบบผสมเงินถูกออกแบบมาเพื่อผสมเงินฝากจากหลายแหล่ง ทำให้ยากที่จะเชื่อมโยงธุรกรรมขาออกกับธุรกรรมขาเข้า
ในกรณีที่เงินจำนวนมากถูกแบ่งออกเป็นธุรกรรมย่อยๆ หลายรายการก่อนที่จะเข้าสู่ระบบผสมเงิน (mixer) ผู้สืบสวนจะต้องตรวจสอบที่อยู่และการโอนเงินในวงกว้างมากขึ้นก่อนที่เส้นทางการสืบสวนจะเลือนหายไป
การตรวจสอบของ CertiK ชี้ให้เห็นว่าการฝากเงินเข้าบัญชี Tornado Cash ไม่ใช่การเคลื่อนไหวแบบสุ่ม แต่เป็นส่วนหนึ่งของกระบวนการที่จงใจสร้างขึ้นเพื่อทำลายประวัติการทำธุรกรรม อย่างไรก็ตาม 63 ล้านดอลลาร์เป็นเพียงเศษเสี้ยวของมูลค่าความเสียหายที่รายงานไว้ 282 ล้านดอลลาร์
การป้องกันการขโมยวลีรหัสลับ เปิดใช้งานการควบคุมกระเป๋าเงินอย่างเต็มรูปแบบ
ผู้ตรวจสอบได้เชื่อมโยงเหตุการณ์เมื่อวันที่ 10 มกราคม กับการโจมตีโดยใช้กลวิธีทางสังคม (social engineering) มากกว่าความบกพร่องของสัญญาอัจฉริยะ (smart contract) หรือการเจาะระบบโปรโตคอล ก่อนหน้านี้ ZachXBT ผู้เชี่ยวชาญด้านบล็อกเชน รายงานว่าผู้โจมตีปลอมตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนกระเป๋าเงินดิจิทัล และหลอกล่อเหยื่อให้เปิดเผยวลีรหัส (seed phrase) เมื่อได้วลีรหัสแล้ว ผู้โจมตีก็สามารถเข้าถึงและควบคุมทรัพย์สินในกระเป๋าเงินดิจิทัลได้ทั้งหมด
รายงานที่เกี่ยวข้องกับคดีนี้ระบุว่า ที่อยู่ IP ที่ถูกโจมตีนั้นมี Bitcoin ประมาณ 1,459 BTC และ Litecoin มากกว่า 2 ล้านเหรียญ ณ เวลาที่เกิดการโจมตี หลังจากที่ผู้โจมตีเข้าควบคุมได้แล้ว พวกเขาได้เคลื่อนย้ายสินทรัพย์ผ่านการแลกเปลี่ยนและการโอนข้ามเครือข่าย โดยแปลง Bitcoin เป็น Ether ก่อนที่จะกระจายไปยัง Tornado Cash
บริษัทรักษาความปลอดภัยอีกแห่งหนึ่งชื่อ ZeroShadow เคยระบุไว้ ก่อนหน้านี้ว่า เงินที่ถูกขโมยไปประมาณ 700,000 ดอลลาร์ ถูกตรวจพบและอายัดไว้ตั้งแต่ช่วงต้นของการฟอกเงิน อย่างไรก็ตาม เงินส่วนใหญ่ถูกโอนย้ายอย่างรวดเร็วระหว่างกระเป๋าเงินและแพลตฟอร์มต่างๆ ก่อนที่มาตรการควบคุมจะสามารถจำกัดการโอนเพิ่มเติมได้
การโจรกรรมกระเป๋าเงินดิจิทัลยังคงอยู่ภายใต้การตรวจสอบอย่างเข้มงวดจากทีมรักษาความปลอดภัยหลายทีม เนื่องจากขนาดของการโจรกรรมและการใช้ขั้นตอนการฟอกเงินอย่างเป็นระบบที่ชัดเจน การอัปเดตของ CertiK ขยายภาพรวมให้สาธารณชนเห็นถึงวิธีการจัดการเงินทุนหลังจากการโจรกรรม รวมถึงการแปลงจาก Bridge เป็น Ethereum และการโอนเงินเป็นขั้นตอนไปยัง Tornado Cash
Moses K is a crypto journalist covering markets, regulation, and blockchain trends. He has written for The Coin Republic, Coinchapter, Cryptopolitan, Cryptotale, Coinspeaker, and MPost. Known for his concise, data-driven reporting, Moses focuses on price analysis, on-chain metrics, and policy developments shaping the global digital asset landscape.
