昨(14)日基於以太坊的社交代幣發行平台 Roll 在疑似發生熱錢包攻擊事件,駭客淨賺近 570 萬美元的以太幣(ETH),而在 Roll 上發行的多個社交代幣 WHALE、ALEX、RATE,以及 PICA 等皆遭駭客轉移並面臨巨大拋售壓力。
(前情提要:BSC | 捲款3,100萬鎂?幣安智能鏈項目Meerkat公告遭駭,官網推特隨後關閉))
(相關報導:盤點2020以太坊安全事件:DeFi合約攻擊60逾起,損失高達2.5億美元))
基於以太坊的社交代幣發行平台 Roll 在昨(14)日台北時間約莫下午三點熱錢包遭受攻擊,導致多個透過 Roll 發行的代幣遭轉移並出售,其中一些遭竊資金被轉移至混幣服務 Tornado,據 The Block 研究員指出,駭客從中得手高達 570 萬美元的以太幣(ETH)。
根據 CoinGecko 的數據,知名社交代幣如 WHALE、RARE、ALEX,以及 PICA 等,皆在遭駭事件發生後面臨巨大拋售壓力,下跌幅度多逾 50%。同時,競爭平台 Rally 的 RLY 代幣飆升至歷史新高。
WHALE 的創辦人在推特上證實已被告知攻擊消息,導因於 Roll 的熱錢包遭駭,並指出該代幣的供應量有 2.17% 遭竊,剩餘的資金則安全保存於冷錢包中。根據 CoinGecko 數據,WHALE 的價格在 10 分鐘內從 43.3 美元暴跌至 3.39 美元,跌幅高達 92.17%,但該代幣目前已有明顯反彈,本文截稿前價格報 30.33 美元,24 小時內跌幅為 28.2%。
(WHALE 24 小時內幣價,source:Coingecko)
官方聲明:熱錢包遭攻擊
在遭駭消息傳出約 12 小時後,Roll 團隊在週(15)日台北時間清晨 3 點發布聲明稿,證明此次遭駭事件與熱錢包私鑰遭洩漏有關。另外,該團隊表示已籌集 50 萬美元用作賠償資金。
根據官方聲明稿,駭客已將所有竊取的平台代幣在 Uniswap 上出售並換成 ETH。Roll 團隊接著補充,此次事件並非來自 Roll 的智能合約或其他代幣合約本身的漏洞。
聲明稿最後表示,目前 Roll 平台已禁止 Roll 錢包中的提款功能,該功能會在平台熱錢包遷移完成後才會回復。
駭客利用 Tornado Cash 轉移近 700 枚 ETH
在遭駭事件後,網頁瀏覽器錢包 MyCrypto 於同日台北時間下午四點在推特上發布貼文,表示駭客正將遭竊取的 100 枚 ETH 發送至以太幣混幣器 Tornado Cash,藉此掩蓋行蹤並提取資金。
MyCrypto.com 表示:
剛剛提到的 40 枚以太幣支付只是那個 TX 上眾多支付的一條。
執行這些 TX 的帳戶現正發送 100 枚以太幣至 TornadoCash。
Oh and that 40 ETH payout was just one line of many on that TX.
The account that executed these TXs is sending out 100s of ETH into @TornadoCash as we speak.https://t.co/08nW0fRBT6 pic.twitter.com/nHOmTQN4Fc
— MyCrypto.com (@MyCrypto) March 14, 2021
《The Block》研究員伊戈爾(Igor Igamberdiev)接著也在推特發文分析此次攻擊。根據伊戈爾的分析,駭客共賺了近 3,000 枚 ETH,按當時價格計算約為 570 萬美元,而其中 700 枚 ETH 已被發送至 Tornado Cash。而大部份的社群代幣也因此面臨大量拋售。
除此之外,伊戈爾還指出這可能與私鑰洩漏或是內部人員有關。
伊戈爾表示:
大約兩小時前,有人出售了 Roll 平台上的大量社交代幣。攻擊者最後共賺取近 3,000 枚 ETH(570 萬美元),而其中的 700 枚已經被發送至 Tornado Cash。
大部分的社交代幣遭大量拋售。
1/5
Two hours ago, someone sold a huge amount of social tokens issued on Roll platform.
As a result, an attacker earned almost 3k ETH ($5.7M), of which 700 have already been sent to Tornado Cash.
Most of social token prices dumped as a result. pic.twitter.com/WmdMogBBnd
— Igor Igamberdiev (@FrankResearcher) March 14, 2021
私鑰竊盜攻擊頻傳
MyCrypto.com 表示,這場 Roll 的攻擊與過去幾週幾件駭客事件,都和私鑰管理及破壞有關,這與先前的智能合約漏洞攻擊有很大的不同。
上一次發生類似私鑰事件,是幣安智能鏈項目 Meerkat Finance,該團隊表示其資金庫智能合約遭到攻擊,並損失價值 3,100 萬美元的資金,但該團隊行蹤不定也讓外節質疑,這是場項目方自導自演的騙局。雖然該團隊開發者在事件發生兩天後出現,發文表示這只是為了一場「社會實驗」,但還是被外界質疑 Meerkat Finance 是在 BSC 壓力下不得不現身所編造的故事。
📍相關報導📍
Tether被勒索「500枚比特幣」宣示拒付贖金,駭客威脅公開關鍵機密文件
資安專欄|DeFi 聚合平台 “Furucombo” 被駭細節分析,與用戶建議
事件始末 | 黃立成旗下 Defi 新創Cream.Finance遭閃電貸攻擊,駭客得手近 10億台幣
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
