ข่าว 
ข้อมูลเหรียญ 
แนะนำสื่อ 
IPOR Labs สูญเงินกว่า 336,000 ดอลลาร์จากการแฮกที่เกิดขึ้นในเครือข่ายอาร์บิทรัม(Arbitrum) ซึ่งเป็นเครือข่ายขยายของอีเธอเรียม(ETH) โดยเหตุการณ์เกิดจากการเจาะช่องโหว่ของสมาร์ตคอนแทรกต์เวอร์ชันเก่าร่วมกับฟีเจอร์ใหม่ที่เพิ่งเพิ่มเข้ามาผ่านการอัปเกรดเครือข่ายอีเธอเรียม ทำให้แฮกเกอร์สามารถถอนเงินจาก ‘ฟิวชั่นวอลต์’ หรือห้องนิรภัยดิจิทัลของผู้ใช้ได้โดยไม่ได้รับอนุญาต
แพลตฟอร์มตรวจสอบความปลอดภัยอย่าง Hexagate และ Blockaid ตรวจพบธุรกรรมต้องสงสัยเมื่อวันที่ 6 มกราคม ตามเวลาท้องถิ่น ก่อนที่ทาง IPOR Labs จะยืนยันว่าเหตุการณ์ดังกล่าวเกิดจากการที่แฮกเกอร์สวมสิทธิ์เพื่อเข้าถึงคอนฟิก ‘ฟิวส์(Fuse)’ ภายในวอลต์ ส่งผลให้เงินไหลเข้าสู่กระเป๋าที่ควบคุมโดยผู้โจมตี จากนั้นเงินทั้งหมดถูกโอนไปยังเครือข่ายหลักของอีเธอเรียมก่อนถูกฟอกผ่านทอร์นาโดแคช(Tornado Cash) บริการมิกเซอร์ที่มีข้อถกเถียงเรื่องการฟอกเงิน
ความเสียหายครั้งนี้สะท้อนถึง *ความเสี่ยงของการใช้สมาร์ตคอนแทรกต์แบบเก่าที่ไม่มีระบบตรวจสอบ* โดยเฉพาะในกรณีของ IPOR ซึ่งวอลต์รุ่นที่โดนแฮกถูกสร้างขึ้นเมื่อประมาณ 490 วันก่อน และขาดการตรวจสอบความถูกต้องของฟิวส์ อีกทั้งตัวช่วยสำคัญที่ทำให้การโจมตีครั้งนี้สำเร็จก็คือฟีเจอร์ ‘การมอบสิทธิ์การเรียกใช้งานตามเงื่อนไข’ หรือ EIP-7702 ที่เข้ามาใหม่จากการอัปเกรดเครือข่ายอีเธอเรียมด้วยการอัปเดต Pectra
ในกรณีนี้ แฮกเกอร์สามารถแอบอ้างเป็นผู้ดูแลระบบผ่าน EIP-7702 และแทรกสัญญา(Contract) ที่มีฟังก์ชัน ‘arbitrary call’ ซึ่งเปิดทางให้ดำเนินการต่าง ๆ ได้แบบไร้ข้อจำกัด รวมถึงการเรียกใช้ฟังก์ชันถอนเงินของผู้ใช้โดยตรงไปยังกระเป๋าของตัวเอง
ในแถลงการณ์ของ IPOR Labs ระบุว่าวอลต์ใหม่ทุกรุ่นที่ออกหลังจากรุ่นที่ถูกแฮก ได้รับการติดตั้งระบบตรวจสอบฟิวส์เรียบร้อยแล้ว ทำให้ไม่สามารถใช้ช่องทางเดิมในการเจาะระบบได้ ขณะเดียวกัน ระบบอัตโนมัติที่เกี่ยวพันกับสิทธิ์จากฟีเจอร์ EIP-7702 ถูกจำกัดอยู่เพียงสองวอลต์ และมีเพียงวอลต์ที่โดนเจาะเท่านั้นที่ยังไม่มีการอัปเดตโครงสร้างความปลอดภัย
เพื่อชดเชยความเสียหาย IPOR DAO วางแผนจะชดใช้เต็มจำนวนจำนวนเงินที่สูญหาย หรือประมาณ 336,000 ดอลลาร์ ซึ่งคิดเป็นไม่ถึง 1% ของเงินทั้งหมดในระบบฟิวชั่น ล่าสุด IPOR กำลังร่วมมือกับบริษัทความปลอดภัย SEAL เพื่อติดตามเงินที่ถูกขโมย และประสานงานกับแพลตฟอร์มแลกเปลี่ยนเพื่อพยายามกู้คืนเงินดังกล่าว
แม้ว่าเดือนธันวาคมที่ผ่านมาจะมีการลดลงของปริมาณการแฮกในวงการคริปโต โดยลดลงถึง 60% เหลือเพียง 76 ล้านดอลลาร์ แต่ทันทีที่เข้าสู่เดือนมกราคม การโจมตีกลับพุ่งสูงขึ้นอีกครั้ง ตัวอย่างหนึ่งคือกรณีการแฮกสายซัพพลายของ Trust Wallet ด้วย npm package ปลอมในช่วงคริสต์มาส ซึ่งมีผู้ใช้งานกระเป๋ากว่า 2,500 รายถูกขโมยข้อมูล ทำให้สูญเสียบิตคอยน์(BTC), อีเธอเรียม(ETH) และโซลานา(SOL) รวมมูลค่ากว่า 7 ล้านดอลลาร์
*ความคิดเห็น:* ผู้เชี่ยวชาญชี้ว่าปัญหาการแฮกในปัจจุบันเริ่มเปลี่ยนจากช่องโหว่ของโค้ดไปเป็นความผิดพลาดจากฝั่งผู้ใช้งานหรือการบริหารจัดการระบบ ตัวอย่างเช่น มิตเชล อามาดอร์(Mitchell Amador) จาก Immunefi ระบุว่า “การจัดการจริงของผู้ใช้และกระบวนการภายในกำลังกลายเป็นเป้าหมายอันดับต้น ๆ ของแฮกเกอร์” ซึ่งชี้ให้เห็นถึง *แนวโน้มใหม่ของการโจมตีที่ไม่ใช่แค่เรื่องโค้ดอีกต่อไป*
การที่ EIP-7702 ถูกโจมตีได้เร็วเช่นนี้ เตือนให้รู้ถึงความสำคัญของการ *ทดสอบและศึกษาอย่างถี่ถ้วนก่อนยอมรับมาตรฐานใหม่ในการใช้งาน DeFi* โดยเฉพาะในระบบที่ต้องพึ่งพาการมอบสิทธิ์และคำสั่งอัตโนมัติเป็นหลัก
ความคิดเห็น 0