เหตุการณ์แฮ็กคริปโตมูลค่า 1.5 พันล้านดอลลาร์เผยช่องโหว่ของโปรแกรมบั๊กบาวน์ตี้
เมื่อวันที่ 3 บริษัทด้านความปลอดภัยบล็อกเชน เซอร์ทิค(CertiK) รายงานว่า ในเดือนกุมภาพันธ์ที่ผ่านมา เหตุการณ์แฮ็กในอุตสาหกรรมคริปโตทำให้เกิดความสูญเสียรวม 1.53 พันล้านดอลลาร์ โดยกรณีที่ร้ายแรงที่สุดคือ การแฮ็กของไบย์บิต(Bybit) ซึ่งมีความเสียหายสูงถึง 1.4 พันล้านดอลลาร์ นอกจากนี้ ยังมีเงินทุนรั่วไหลเพิ่มอีก 126 ล้านดอลลาร์จากเหตุการณ์อื่น
สาเหตุหลักของเหตุการณ์นี้เกิดจากข้อจำกัดของโปรแกรม ‘บั๊กบาวน์ตี้’ ซึ่งเป็นโครงการให้รางวัลสำหรับการค้นหาช่องโหว่ด้านความปลอดภัย แต่มักมีข้อจำกัดว่าประเภทของช่องโหว่ใดที่ได้รับค่าตอบแทน มาร์วาน ฮาเชม(Marwan Hachem) ประธานฝ่ายปฏิบัติการของเฟียร์สออฟ(FearsOff) ให้สัมภาษณ์กับ Cointelegraph ว่า "ผู้ให้บริการกระเป๋าเงินมัลติซิกของไบย์บิตอย่างเซฟ(Safe) ตัดสินใจไม่นับรวมข้อบกพร่องด้านความปลอดภัยบนระบบหน้าเว็บ(frontend) และระบบหลังบ้าน(backend) เป็นส่วนหนึ่งของบั๊กบาวน์ตี้ ส่งผลให้เกิดช่องโหว่ขนาดใหญ่จนเป็นเหตุให้เกิดการแฮ็กครั้งนี้"
ฮาเชมยังกล่าวเพิ่มเติมว่า โปรแกรมบั๊กบาวน์ตี้ของไบย์บิตเสนอโบนัสสูงสุดเพียง 4,000 ดอลลาร์บนเว็บไซต์หลัก และมากสุด 10,000 ดอลลาร์ผ่านแพลตฟอร์ม HackerOne ซึ่งต่ำกว่าผลประโยชน์ที่แฮ็กเกอร์สามารถได้รับจากการโจมตีจริงมาก เขาเน้นว่า "หากให้รางวัลสูงขึ้นแก่ไวท์แฮ็กเกอร์ ก็อาจช่วยป้องกันเหตุการณ์เหล่านี้ได้ การเสนอคืนเงิน 10% ของทรัพย์สินที่ถูกขโมยหลังเหตุโจรกรรมไม่ใช่มาตรการที่มีประสิทธิภาพเท่ากับการป้องกันล่วงหน้า"
ทางด้านเซอร์ทิคก็เน้นถึงความจำเป็นของมาตรการรักษาความปลอดภัยที่เข้มงวดขึ้น โดยแนะนำให้ผู้ให้บริการคริปโตใช้ ‘อุปกรณ์ลงนามแบบออฟไลน์’(air-gapped devices) หรือระบบปฏิบัติการที่ไม่มีการเก็บข้อมูลถาวร(non-persistent OS) เพื่อเพิ่มความปลอดภัยในการทำธุรกรรมที่มีมูลค่าสูง
สำหรับไบย์บิต การแฮ็กครั้งนี้เกิดจากพนักงานที่ดูแลลายเซ็นของธุรกรรมถูกโจมตีด้วยฟิชชิง ทำให้เผลออนุมัติการอัปเกรดสัญญาที่เป็นอันตราย ขณะที่ในกรณีของเหตุการณ์ 'อินฟินี(Infini)' พบว่าคีย์ส่วนตัวของผู้ดูแลระบบรั่วไหล ทำให้แฮ็กเกอร์ถอนเงินออกไปโดยไม่ได้รับอนุญาต เซอร์ทิคกล่าวว่า "ทั้งสองกรณีสะท้อนความเสี่ยงจาก ‘การลงนามแบบไม่ตรวจสอบ’(blind signing) ซึ่งสามารถป้องกันได้ด้วยระบบรักษาความปลอดภัยที่ดียิ่งขึ้น เช่น การยืนยันอัตลักษณ์ที่เข้มงวดขึ้น การตรวจสอบธุรกรรมแบบเรียลไทม์ และการปรับปรุงระบบ UI ให้ปลอดภัยขึ้น"
ความคิดเห็น 0