ดีไฟเฮ็กครั้งใหม่ ‘900 ล้านดอลลาร์’ สปาร์รา ออราเคิลพลาด ทำเฮเดราเสียหายยับ
การแฮ็กดีไฟมูลค่าประมาณ ‘900 ล้านดอลลาร์’ ที่เกิดขึ้นช่วงสุดสัปดาห์ ถูกยืนยันแล้วว่าเป็นผลมาจากช่องโหว่ของออราเคิล และทำให้การใช้งานบนเฮเดรา(HBAR) กลายเป็นจุดอ่อนที่ถูกโจมตีในที่สุด โปรโตคอลกู้ยืมอย่าง โบโนโซ เรนด์(Bonzo Lend) อธิบายว่า ฝ่ายโจมตีสามารถทำให้ระบบประเมินมูลค่าหลักประกันสูงกว่าความเป็นจริงอย่างผิดปกติ ส่งผลให้สามารถกู้เงินออกไปได้มากกว่ามูลค่าที่แท้จริงของสินทรัพย์ค้ำประกันอย่างมหาศาล
ตามรายงานของ ‘프로토스(Protos)’ ระบุว่า ช่องโหว่นี้เกิดจากออราเคิลที่ให้บริการโดยบริษัทโครงสร้างพื้นฐานบล็อกเชนอย่าง ‘ซูปรา เน็ตเวิร์ก(Supra Network)’ ซูปราเพิ่งอัปเดตแพตช์ออราเคิลบน 11 เชนไปก่อนหน้าแล้ว แต่ ‘สัญญาบนเฮเดรา’ กลับถูกเว้นไว้ไม่ถูกอัปเกรด ทำให้ตกเป็นเป้าหมายของการโจมตีในครั้งนี้ทันที หลังเหตุการณ์ไม่นาน อุสมัน ข่าน(Usmann Khan) จากแพลตฟอร์มพลาสมา(Plasma) ก็ออกมาชี้ว่า ซูปราได้อัปเกรดออราเคิลบนหลายเชนจริง แต่สัญญาออราเคิลบนเฮเดราที่โบโนโซ เรนด์ใช้งานอยู่นั้น ไม่ถูกแตะต้องเลย
ราว 12 ชั่วโมงหลังเกิดเหตุ ซูปราเผยแพร่รายงานชี้แจง โดยระบุว่าบั๊กดังกล่าวเป็น ‘กรณีขอบเชิงคริปโต(cryptographic edge case)’ แต่ไม่ได้ลงรายละเอียดว่าการปรับปรุงดีพลอยอื่นๆ บนเชนต่างๆ ทำอย่างไรบ้าง ระบุเพียงว่า ได้ตรวจสอบดีพลอยออราเคิลอื่นๆ ที่ใช้ ‘รูปแบบชุดผู้ตรวจสอบ (validator pattern)’ เดียวกัน เพื่อยืนยันว่าได้ติดตั้งกลไกป้องกันแบบเดียวกันแล้วเท่านั้น ด้าน จอช โทบคิน(Josh Tobkin) ผู้ร่วมก่อตั้งและซีอีโอ(CEO) ของซูปรา อ้างว่า ช่องโหว่นี้เป็นสิ่งที่มนุษย์มองข้ามมา 2 ปี แต่ถูก ‘การแฮ็กที่มี AI ช่วย (AI-assisted hacking)’ ตรวจพบในที่สุด ‘ความคิดเห็น’ ประเด็นนี้สะท้อนชัดว่าระดับความซับซ้อนของการเจาะระบบกำลังสูงขึ้นอย่างมาก
ต่อมา โทมาชิ อานุรา(Tomachi Anura) ผู้ก่อตั้ง HSuite ได้วิเคราะห์ข้อมูลออนเชนและพบว่า ซูปราได้ดำเนินการอัปเกรดพร็อกซีบน 11 เชน ตั้งแต่วันที่ 29 มิถุนายน บนเชนเบส(Base) ไล่ไปจนถึง 3 กรกฎาคม บนโพลิกอน(MATIC) แต่สำหรับเฮเดราและฟิวส์(Fuse) นั้น เพิ่งได้รับการแก้ไขหลังเหตุโจมตีไปแล้ว อานุราระบุเพิ่มเติมว่า เมื่อไล่ตรวจสอบดีพลอยทั้งหมดที่มีการยืนยันซอร์สโค้ด จะพบว่ามีจุดร่วมไปจบที่คอนแทรกต์ ‘SupraSValueFeedVerifier’ ตัวเดียวกันทั้งหมด ทว่า ‘ทำไม’ การอัปเดตถึงหยุดอยู่ที่วันที่ 3 กรกฎาคม และปล่อยให้สัญญาเฮเดราไม่ได้รับการแพตช์ ก็ยังเป็นคำถามที่ไม่มีคำตอบที่ชัดเจน
กรณีนี้ตอกย้ำอีกครั้งว่า ‘ความผิดพลาดของออราเคิล’ ในดีไฟสามารถขยายความเสียหายเป็นตัวเลขระดับหลายล้านดอลลาร์ได้ง่ายเพียงใด ออราเคิลซึ่งทำหน้าที่ดึงข้อมูลราคา 외부 เข้ามาใช้ในการกู้ยืม การล้างสถานะ (liquidation) และการประเมินหลักประกัน ถือเป็นโครงสร้างพื้นฐานหลักของโปรโตคอลดีไฟ จึงทำให้ความคลาดเคลื่อนเพียงเล็กน้อยสามารถถูกใช้เป็นช่องโจมตีได้ทันที ‘ความคิดเห็น’ เมื่อมองย้อนกลับไปในช่วงไม่กี่เดือนที่ผ่านมา จะพบว่าการโจมตีผ่านการบิดเบือนออราเคิล ได้สร้างความเสียหายเพิ่มอีกกว่า 3.5 ล้านดอลลาร์ และในอีกกรณีหนึ่ง แค่ความไม่ตรงกันของจุดเวลา (timing mismatch) ก็เคยนำไปสู่การล้างสถานะ wstETH ที่ผิดพลาดบนตลาด อีเธอเรียม(ETH) ของ เอว(AAVE) เป็นมูลค่าสูงถึง 27 ล้านดอลลาร์
บทสรุปจากเหตุการณ์ ‘ซูปรา ออราเคิล – เฮเดรา’ ครั้งนี้คือ ความปลอดภัยของออราเคิลไม่ได้เป็นเพียงปัญหาทางเทคนิคเฉพาะจุด แต่เป็นตัวแปรสำคัญที่กำหนด ‘ความน่าเชื่อถือของดีไฟทั้งระบบ’ และยิ่งระบบพึ่งพาข้อมูลราคาภายนอกมากเท่าไร แรงกดดันด้านความปลอดภัยก็จะยิ่งทวีคูณตามไปด้วย
ความคิดเห็น 0