ตามที่นักสืบข้อมูลบนเชนระบุ มีการโจมตีประสานงานที่ทำให้กระเป๋าเงิน Ethereum มากกว่า 500 ใบ ซึ่งไม่ได้ใช้งานมาหลายปี ถูกระบายออก ส่งผลให้เกิดความสูญเสียประมาณ 800,000 ดอลลาร์ โดยเงินที่ถูกขโมยถูกฟอกผ่านโปรโตคอลข้ามเชน ThorChain ในเวลาต่อมา เหตุการณ์นี้โดดเด่นจากอายุของกระเป๋าเงินที่ได้รับผลกระทบ โดยบางใบไม่ถูกใช้งานนานถึง 7 ปี นักวิเคราะห์ชี้ว่าผู้โจมตีมุ่งเป้าไปที่กระเป๋าเงินที่ไม่มีการเคลื่อนไหวเร็วๆ นี้ ซึ่งทำให้เกิดความกังวลเกี่ยวกับช่องโหว่ที่ซ่อนอยู่ซึ่งเชื่อมโยงกับวิธีจัดการคีย์ที่เก่ากว่า หรือข้อมูลรับรองที่เคยถูกบุกรุกมาก่อน
โจมตีเป้ากระเป๋าเงินที่หลับไหลในระดับขนาดใหญ่
ข้อมูลบนเชนบ่งชี้ว่าชุดที่อยู่ (addresses) ที่ประสานกันได้ระบายเงินออกจากกระเป๋าเงินหลายร้อยใบอย่างเป็นระบบภายในช่วงเวลาสั้นๆ กระเป๋าเงินที่ได้รับผลกระทบมีทั้ง ether และโทเคนอื่นๆ แม้ยอดคงเหลือรายใบโดยทั่วไปจะไม่สูงมากนัก
นักวิจัยพบว่ากระเป๋าเงินจำนวนมากที่ถูกบุกรุกถูกสร้างขึ้นระหว่าง 4 ถึง 8 ปีก่อน ซึ่งชี้ให้เห็นว่าวิธีการเก็บรักษาที่เก่ากว่า หรือกุญแจส่วนตัวที่อาจถูกเปิดเผย อาจมีส่วนเกี่ยวข้อง ในบางกรณี ผู้ใช้งานที่ได้รับผลกระทบรายงานว่าไม่ได้มีการโต้ตอบกับแอปพลิเคชันแบบกระจายอำนาจล่าสุด หรือกับสัญญาที่น่าสงสัย ซึ่งยิ่งเพิ่มความไม่แน่ใจว่าผู้โจมตีเข้าถึงได้อย่างไร
ผู้โจมตีไม่ได้ทำให้ทุกกระเป๋าเงินหมดเกลี้ยงทั้งหมด ทำให้นักวิเคราะห์พิจารณาว่าอาจเป็นการกำหนดเป้าหมายแบบเลือกสรรตามเกณฑ์ยอดคงเหลือ หรือใช้กลยุทธ์การดึงเงินที่ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับ
ช่องทางการโจมตียังไม่ชัดเจน
หนึ่งในประเด็นที่สำคัญที่สุดของเหตุการณ์นี้คือการไม่มีจุดเริ่มต้นที่ได้รับการยืนยัน ไม่เหมือนการระบายกระเป๋าเงินที่พบบ่อยซึ่งมักเชื่อมโยงกับลิงก์ฟิชชิงหรือการอนุมัติที่เป็นอันตราย การโจมตีครั้งนี้ยังไม่ได้ถูกเชื่อมโยงกับกลไกการเอ็กซ์พลอยต์ที่เฉพาะเจาะจง
นักวิจัยด้านความปลอดภัยเสนอความเป็นไปได้หลายกรณี รวมถึงกุญแจส่วนตัวที่ถูกบุกรุก ช่องโหว่ในซอฟต์แวร์กระเป๋าเงินที่ล้าสมัย หรือข้อมูลรับรองที่ถูกเปิดเผยในเหตุรั่วไหลของข้อมูลในอดีต ซึ่งเพิ่งถูกนำไปใช้ประโยชน์ในช่วงล่าสุดเท่านั้น
การมุ่งเป้าไปที่กระเป๋าเงินที่ไม่ได้ใช้งานได้เพิ่มความกังวล เพราะที่อยู่ลักษณะนี้มักถูกมองว่าปลอดภัยกว่าเนื่องจากไม่ได้มีปฏิสัมพันธ์กับโปรโตคอลใหม่ๆ เหตุการณ์นี้ท้าทายสมมติฐานดังกล่าว และชี้ให้เห็นถึงความเสี่ยงของการเก็บสินทรัพย์ระยะยาวโดยไม่หมุนเวียนคีย์เป็นระยะ
ส่งเงินผ่าน ThorChain เพื่อทำให้ร่องรอยคลุมเครือ
หลังการขโมย ผู้โจมตีได้โอนเงินผ่าน ThorChain ซึ่งเป็นโปรโตคอลสภาพคล่องแบบกระจายอำนาจข้ามเชนที่ช่วยให้แลกเปลี่ยนสินทรัพย์ข้ามหลายบล็อกเชนได้โดยไม่ต้องมีคนกลางแบบรวมศูนย์ นักสืบระบุว่าบางส่วนของ ether ที่ถูกขโมยถูกแปลงเป็นสินทรัพย์อื่นเพื่อทำให้การติดตามทำได้ยากขึ้น การใช้โครงสร้างพื้นฐานข้ามเชนและการสลับสินทรัพย์เป็นกลยุทธ์ที่พบบ่อยในการเอ็กซ์พลอยต์ที่เกี่ยวข้องกับคริปโต เพราะมันทำให้เส้นทางธุรกรรมแตกกระจายและลดความสามารถในการตรวจสอบย้อนกลับได้
ผลกระทบด้านความปลอดภัยและข้อเสนอแนะ
เหตุการณ์นี้ย้ำถึงช่องโหว่ที่ยังคงมีอยู่ในระบบการดูแลครองเอง (self-custody) โดยเฉพาะสำหรับกระเป๋าเงินที่ถูกสร้างขึ้นในช่วงแรกๆ ของระบบนิเวศคริปโต เมื่ออุตสาหกรรมพัฒนาต่อไป กระเป๋าเงินเก่าอาจอาศัยสมมติฐานด้านความปลอดภัยหรือเครื่องมือที่ล้าสมัย ซึ่งปัจจุบันไม่ถือว่าเป็นแนวปฏิบัติที่ดีที่สุดอีกต่อไป
นักวิเคราะห์ความปลอดภัยได้เตือนว่ากระเป๋าเงินที่ไม่ได้ใช้งานอาจกลายเป็นเป้าหมายได้ หากกุญแจส่วนตัวถูกเปิดเผยผ่านเอนโทรปีที่อ่อนแอ อุปกรณ์ที่ถูกบุกรุก หรือการรั่วไหลในอดีต เหตุการณ์ล่าสุดยิ่งตอกย้ำความสำคัญของมาตรการความปลอดภัยเชิงรุก รวมถึงการย้ายเงินไปยังกระเป๋าเงินที่สร้างใหม่และการอัปเดตวิธีการจัดเก็บ
แม้ผลกระทบทางการเงินจะค่อนข้างจำกัดเมื่อเทียบกับการเอ็กซ์พลอยต์ DeFi ขนาดใหญ่ แต่ลักษณะของการโจมตียังคงดึงดูดความสนใจอย่างมาก เนื่องจากเป็นกลยุทธ์การกำหนดเป้าหมายที่ผิดปกติและสาเหตุทางเทคนิคที่ยังไม่ชัดเจน สำหรับผู้มีส่วนร่วมในตลาด เหตุการณ์นี้ย้ำความสำคัญของสุขอนามัยกระเป๋าเงิน (wallet hygiene) และการจัดการคีย์ ขณะที่ผู้โจมตียังคงพัฒนาวิธีการของตนต่อไป
นักสืบกำลังดำเนินการวิเคราะห์รูปแบบธุรกรรมเพื่อพยายามหาสาเหตุรากของเหตุการณ์ ความเข้าใจที่ชัดเจนขึ้นเกี่ยวกับการเอ็กซ์พลอยต์อาจนำไปสู่คำแนะนำด้านความปลอดภัยในอนาคต และช่วยป้องกันเหตุการณ์ที่คล้ายกัน การโจมตีครั้งนี้เป็นเครื่องเตือนว่าแค่ความไม่เคลื่อนไหวไม่ได้การันตีความปลอดภัยในคริปโต และแม้แต่สินทรัพย์ที่หลับไหลมายาวนานก็อาจกลายเป็นเป้าหมายได้ในสภาพแวดล้อมภัยคุกคามที่ซับซ้อนขึ้นเรื่อยๆ
