Ví đa chữ ký của một cá voi bị đánh cắp do lộ private key, gây thiệt hại khoảng 27,3 triệu USD; kẻ tấn công đã rửa 12,6 triệu USD (4.100 ETH) qua Tornado Cash.
Sự cố cho thấy rủi ro vận hành của ví đa chữ ký khi private key bị lộ. Ngoài khoản tiền bị rút, kẻ tấn công còn giành quyền kiểm soát ví nạn nhân và các vị thế đòn bẩy liên quan trên Aave.
- Lộ private key khiến ví đa chữ ký của cá voi bị mất khoảng 27,3 triệu USD.
- Đã rửa 12,6 triệu USD (4.100 ETH) qua Tornado Cash; còn khoảng 2 triệu USD tài sản thanh khoản.
- Kẻ tấn công kiểm soát ví đang long đòn bẩy trên Aave: ký quỹ 25 triệu USD ETH, vay 12,3 triệu DAI.
Thiệt hại và dòng tiền bị rửa
Vụ đánh cắp làm thất thoát khoảng 27,3 triệu USD; hacker đã rửa 12,6 triệu USD tương đương 4.100 ETH qua Tornado Cash và đang nắm khoảng 2 triệu USD tài sản thanh khoản.
Sự cố được ghi nhận ngày 18/12, nguyên nhân là rò rỉ private key dẫn đến ví đa chữ ký bị chiếm đoạt. Động thái rửa tiền qua Tornado Cash cho thấy một phần tài sản đã được chuyển sang lớp ẩn danh, làm tăng độ khó trong truy vết và thu hồi.
Trong bức tranh tổng thể, số tiền đã rửa (12,6 triệu USD) là phần đáng kể so với tổng thiệt hại 27,3 triệu USD. Phần tài sản thanh khoản còn lại khoảng 2 triệu USD cho thấy hacker vẫn còn dư địa tiếp tục di chuyển hoặc quy đổi tài sản.
Ví bị chiếm quyền và vị thế đòn bẩy trên Aave
Kẻ trộm không chỉ lấy tiền mà còn giành quyền kiểm soát ví đa chữ ký của nạn nhân, vốn đang nắm một vị thế long đòn bẩy trên Aave.
Ví này đã nạp 25 triệu USD giá trị ETH làm tài sản thế chấp và vay 12,3 triệu DAI. Khi quyền kiểm soát ví bị chuyển sang tay kẻ tấn công, các hành động tiếp theo có thể tác động trực tiếp đến vị thế vay-mượn và tài sản thế chấp đang nằm trên giao thức.
