ข่าว 
ข้อมูลเหรียญ 
แนะนำสื่อ 
ผู้เชี่ยวชาญเตือนช่องโหว่ ‘Safe’ กระเป๋าคริปโต หลังถูกเจาะ 86 กระเป๋า สูญเงินเกือบ 3 ล้านดอลลาร์ ผ่านโมดูลภายนอก ‘SquidRouterModule’ ที่ถูกแฮกเกอร์ใช้เจาะระบบด้วยการ ‘ปลอมธุรกรรม’ และ ‘จัดการสภาพคล่อง’ ในเวลาเพียงราว 2 ชั่วโมง ตามข้อมูลจากบริษัทด้านความปลอดภัยบล็อกเชน บล็อคเอด(Blockaid)
บล็อคเอดระบุว่า แฮกเกอร์อาศัยช่องโหว่ของโมดูลบุคคลที่สาม ‘SquidRouterModule’ เพื่อดูดทรัพย์สินจากกระเป๋า Safe ทั้งหมด 86 ใบ เป็นมูลค่ารวมเกือบ 3 ล้านดอลลาร์สหรัฐ โดยการโจมตีใช้ทั้งการจัดการสภาพคล่องบนดีฟายและสร้างธุรกรรมสวอปปลอม เลียนแบบการเทรดบนยูนิสวาป V3 เพื่อลวงให้ระบบประมวลผล
เหตุการณ์ครั้งนี้ไม่ได้เกิดจาก ‘โครงสร้างหลักของกระเป๋า Safe’ ถูกเจาะโดยตรง แต่เกิดจาก ‘การตั้งค่าการอนุมัติล่วงหน้า’ ให้กับโมดูลภายนอกที่ไม่ปลอดภัย Safe และทีมความปลอดภัยอธิบายว่า กระเป๋าบางใบได้ให้สิทธิ์อนุมัติธุรกรรมล่วงหน้าแก่โมดูลภายนอก ทำให้แฮกเกอร์สามารถส่งธุรกรรมโดยไม่ต้องมีการลงนามจากผู้ใช้แต่ละคน ฟังก์ชัน ‘executeSameChainActions()’ ภายในโมดูลที่มีช่องโหว่กลายเป็นช่องทางให้คนร้ายสวมรอยเป็นผู้ใช้ที่น่าเชื่อถือและสั่งรันคำสั่งบนเชนได้โดยตรง
ก่อนเริ่มการโจมตี แฮกเกอร์ได้ส่งเงิน 2.1 อีเธอเรียม(ETH) ผ่าน ‘โทนาโดแคช’ เพื่อปกปิดที่มา แล้วจึงเริ่มการโจมตีแบบอัตโนมัติทั้งบนเครือข่ายอีเธอเรียมและเบส(Base) จากนั้นทยอยดูดสินทรัพย์ออกจากกระเป๋า Safe เป้าหมายหลายสิบใบอย่างต่อเนื่อง ทรัพย์สินที่ถูกขโมยถูกแปลงผ่านสเตเบิลคอยน์หลายตัว เช่น ยูเอสดีคอยน์(USDC), ยูเอสดีที(USDT) ก่อนถูกรวมเป็นได(DAI) มูลค่าประมาณ 3.07 ล้านดอลลาร์ และจนถึงตอนนี้ยังคงเก็บอยู่ในกระเป๋าของผู้โจมตี
ฝั่งทีมพัฒนา Safe และ Squid ย้ำว่า ‘สัญญาหลักที่เป็นตัวจัดเส้นทางธุรกรรม (core router contract)’ และ ‘เงินต้นของผู้ใช้ที่เก็บอยู่ในโครงสร้างหลักของระบบ’ ไม่ได้รับผลกระทบโดยตรงจากเหตุการณ์ครั้งนี้ อย่างไรก็ตาม พวกเขายอมรับว่าเหตุการณ์ดังกล่าวเป็นตัวอย่างชัดเจนว่า ‘ความปลอดภัยของกระเป๋าเงินคริปโต’ ไม่ได้ขึ้นอยู่แค่ตัวอินฟราสตรักเชอร์หลักของกระเป๋าเท่านั้น แต่ยังรวมถึงการจัดการ ‘โมดูลภายนอก’ และ ‘การตั้งค่าการอนุมัติสิทธิ์’ ของผู้ใช้ด้วย
"ความคิดเห็น" กรณีนี้ตอกย้ำว่าผู้ใช้ที่ใช้กระเป๋าแบบสมาร์ตคอนแทรกต์หรือมัลติซิก แม้จะใช้โครงสร้างที่ปลอดภัยอย่าง Safe ก็ยังเสี่ยง หากให้สิทธิ์กับปลั๊กอินหรือโมดูลภายนอกมากเกินไปโดยไม่ตรวจสอบ การรีวิวสิทธิ์การอนุมัติ (approval) เป็นระยะ และหลีกเลี่ยงการใช้โมดูลที่ไม่ผ่านการตรวจสอบจากผู้เชี่ยวชาญ จึงกลายเป็น ‘ขั้นตอนบังคับ’ ของการใช้งานกระเป๋าในยุคที่ดีฟายซับซ้อนขึ้นเรื่อย ๆ
ความคิดเห็น 0