วิธีที่การอนุมัติที่ไม่เคลื่อนไหวเปิดทางให้เกิดการโจมตี Ethereum มูลค่า 13.3 ล้านดอลลาร์

การอนุมัติโทเค็น Ethereum เก่าได้รับการโจมตี ทำให้ผู้โจมตีสามารถถอนเงินจำนวน 13.3 ล้านดอลลาร์จากกระเป๋าเงินภายในไม่กี่วินาทีหลังจากได้รับเงิน

กระเป๋าเงิน Ethereum สูญเสียประมาณ 13.3 ล้านดอลลาร์ในไม่กี่วินาที หลังจากการอนุมัติโทเค็นที่ถูกลืมไปนานถูกเปิดใช้งาน

เงินทุนเข้ามาผ่านธุรกรรมการแอบอ้างบัญชี และผู้โจมตีดำเนินการทันที ข้อมูลบล็อกเชนแสดงให้เห็นว่ากระเป๋าเงินได้ให้สิทธิ์การใช้จ่ายโดยไม่รู้ตัวหลายสัปดาห์ก่อนหน้านี้

เมื่อการโอนเงินมาถึง การอนุมัติอนุญาตให้เข้าถึงเต็มรูปแบบโดยไม่ต้องยืนยันเพิ่มเติม เหตุการณ์นี้แสดงให้เห็นว่าสิทธิ์ที่ไม่ได้ใช้งานสามารถยังคงเปิดใช้งานและถูกใช้โดยไม่แจ้งเตือน

กระเป๋าเงินรับเงินและถูกถอนอย่างรวดเร็ว

กระเป๋าเงินเป้าหมาย ซึ่งระบุเป็น 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD ได้รับประมาณ 13.3 ล้านดอลลาร์ในธุรกรรมเดียว

ผู้โจมตีดำเนินการโอนโดยใช้กลไกการแอบอ้างบัญชีที่ออกแบบมาเพื่อทำให้การดำเนินงานของกระเป๋าง่ายขึ้น

นอกจากนี้ บันทึกบล็อกเชนแสดงให้เห็นว่าเงินเข้ามาและถูกถอนออกภายในไม่กี่วินาที ผลลัพธ์นี้ทำให้ไม่มีเวลาสำหรับการแทรกแซงด้วยตนเองหรือการดำเนินการป้องกัน

ความรวดเร็วในการถอนเงินบ่งชี้ว่าผู้โจมตีไม่จำเป็นต้องได้รับสิทธิ์ใหม่ แต่อยู่ในสิทธิ์เดิมก่อนที่การโอนจะเกิดขึ้นแล้ว

นอกจากนี้ ตัวติดตามความปลอดภัยยังยืนยันว่าไม่มีธุรกรรมการอนุมัติใหม่เกิดขึ้นในช่วงเหตุการณ์นี้ ซึ่งตัดความเป็นไปได้ของการโจมตีแบบฟิชชิ่งหรือการลงลายเซ็นแบบธรรมดา

นักสืบจึงตรวจสอบกิจกรรมบนเชนในอดีตที่เชื่อมโยงกับกระเป๋าเงินนี้ โฟกัสเปลี่ยนไปที่การอนุมัติโทเค็นเก่า ๆ ที่ไม่เคยถูกเพิกถอน

การตรวจสอบนี้เปิดเผยการอนุมัติในอดีตที่ยังคงอนุญาตให้มีการใช้จ่ายจากบุคคลที่สาม สิทธิ์ที่ไม่ได้ใช้งานนี้กลายเป็นจุดเข้าโจมตีสำหรับการโจมตี

การอนุมัติเก่าเปิดทางให้เกิดการโจมตี

นักสืบติดตามสาเหตุหลักไปยังธุรกรรมการอนุมัติที่ทำเมื่อวันที่ 1 มกราคม 2026 ซึ่งให้สิทธิ์การใช้จ่ายไปยังที่อยู่ 0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e

ในเวลานั้น การอนุมัติไม่ได้สร้างความกังวลสาธารณะ สิทธิ์นี้ยังคงใช้งานอยู่และไม่ได้ถูกเพิกถอน

การอนุมัติเก่าเพิ่งทำให้เสียเงิน 13.3 ล้านดอลลาร์

ที่อยู่เป้าหมาย 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD ได้รับประมาณ 13.3 ล้านดอลลาร์ผ่านธุรกรรมการแอบอ้างบัญชีและถูกถอนภายในไม่กี่วินาที

สาเหตุหลักย้อนกลับไปยังการเรียก approve() ที่ทำเมื่อวันที่ 1 ม.ค. 2026 ซึ่งให้สิทธิ์การใช้จ่าย… pic.twitter.com/vDVhX8emXD

— QuillAudits 🥷 (@QuillAudits_AI) 26 มกราคม 2026

ที่อยู่ของผู้โจมตี 0x6cAad74121bF602e71386505A4687f310e0D833e ใช้การอนุมัตินี้ในภายหลัง

มันอนุญาตให้เข้าถึงเต็มรูปแบบของเงินที่เข้ามา เมื่อเงินมาถึง ผู้โจมตีดำเนินการโอนโดยไม่ล่าช้า ผู้โจมตีลบยอดคงเหลือทั้งหมดในหนึ่งการดำเนินการที่ประสานกัน

การเคลื่อนไหวของเงินหลังจากการถอน

หลังจากการถอน ผู้โจมตีแลกเปลี่ยนสินทรัพย์ที่ขโมยไปจากโทเค็นเป็น WETH แล้วเป็น ETH ขั้นตอนเหล่านี้ลดความเสี่ยงในการติดตามระดับโทเค็น

จากนั้น ผู้โจมตีย้ายเงินข้ามหลายกระเป๋า การโอนเป็นไปอย่างรวดเร็วและกระจายไปยังหลายที่อยู่

วิธีนี้สร้างรูปแบบธุรกรรมที่ซับซ้อน ผู้โจมตีมักใช้รูปแบบเช่นนี้เพื่อชะลอความพยายามในการติดตาม

การวิเคราะห์บล็อกเชนแสดงให้เห็นว่าส่วนหนึ่งของ ETH ยังคงอยู่บนเชน เงินเหล่านี้อยู่ในที่อยู่ที่ยังเชื่อมโยงกับผู้โจมตี

อ่านเพิ่มเติม: การสูญเสีย 25 ล้านดอลลาร์: Machi ถูก Liquidated สำหรับ 1,000 ETH หลังจากตลาดร่วง

การสังเกตการณ์บนเชนอย่างต่อเนื่อง

ผู้สังเกตความปลอดภัยยังคงติดตามกระเป๋าเงินที่เชื่อมโยงกับผู้โจมตี อย่างไรก็ตาม นักสืบไม่พบบริการผสมเงินในช่วงการเคลื่อนไหวแรก

การมีอยู่ของเงินบนเชนเปิดโอกาสให้ติดตาม นักวิเคราะห์อาศัยเวลาทำธุรกรรมและการเชื่อมโยงที่อยู่

เหตุการณ์นี้แสดงให้เห็นว่าสิทธิ์เก่า ๆ ยังคงใช้งานได้ กระเป๋าเงินเจ้าของมักลืมสิทธิ์เหล่านี้ตามเวลา เหตุการณ์นี้เสริมความจำเป็นในการตรวจสอบสิทธิ์เป็นประจำ

จนถึงข้อมูลล่าสุด ยังไม่มีธุรกรรมกู้คืนเกิดขึ้น เงินที่ถูกขโมยยังคงอยู่ภายใต้การควบคุมของผู้โจมตี