ข่าว 
ข้อมูลเหรียญ 
แนะนำสื่อ 
เซโทัส DEX บนบล็อกเชน SUI ถูกแฮกเกอร์โจมตีครั้งใหญ่ สูญเสียสินทรัพย์ไปมากถึง 230 ล้านดอลลาร์สหรัฐฯ หรือราว 32,660 พันล้านวอน จากช่องโหว่เพียงเล็กน้อยในโค้ดสมาร์ตคอนแทรกต์ ตามการเปิดเผยของบริษัทด้านความปลอดภัยบล็อกเชน สโลว์มิสต์(SlowMist)
เมื่อวันที่ 22 ตามเวลาท้องถิ่น เซโทัส DEX ประสบเหตุการณ์ที่ ‘พูลสภาพคล่อง’ หรือ Liquidity Pool ถูกดูดออกไปอย่างฉับพลัน การวิเคราะห์โดยสโลว์มิสต์ระบุว่า สาเหตุสำคัญของเหตุการณ์นี้เกิดจากข้อผิดพลาดในฟังก์ชัน ‘checked_shlw’ ของสมาร์ตคอนแทรกต์ ซึ่งล้มเหลวในการตรวจจับโอเวอร์โฟลว์ในฟังก์ชัน ‘get_delta_a’
แฮกเกอร์ได้ใช้ประโยชน์จากช่องโหว่นี้ในการหลอกระบบให้เชื่อว่าได้เพิ่มสภาพคล่องจำนวนมากเข้าสู่แพลตฟอร์ม ทั้งที่จริงแล้วฝากเพียงแค่ 1 โทเคนเท่านั้น พวกเขาเริ่มต้นโดยกู้ยืมเหรียญ haSUI จำนวน 10 ล้านโทเคนผ่านฟลัชโลน (Flash Loan) เพื่อทำให้ราคาภายในพูลตกลง 99.9%
จากนั้นได้กำหนด ‘ช่วงสภาพคล่อง’ ให้แคบที่สุด เพื่อทำให้ดูเหมือนว่ามีการเพิ่มสภาพคล่องในปริมาณมหาศาล โดยใช้การทำโอเวอร์โฟลว์ให้เห็นเหมือนฝากโทเคนจำนวนมาก ทั้งที่ในความเป็นจริงฝากแค่ 1 โทเคนเท่านั้น
แฮกเกอร์ทำการถอนสภาพคล่องที่ปลอมขึ้นมาใน 3 ขั้นตอน ก่อนจะชำระหนี้ฟลัชโลนได้อย่างแนบเนียน ส่งผลให้สามารถขโมย haSUI ถึง 10 ล้านโทเคน พร้อมกับเหรียญ SUI อีก 5.7 ล้านโทเคน โดยแทบไม่ต้องใช้เงินลงทุนจริงเลย
สโลว์มิสต์แสดงความเห็นว่า กรณีนี้แสดงให้เห็นอย่างชัดเจนว่า ‘แค่ข้อผิดพลาดในการเขียนโค้ดเพียงไม่กี่บรรทัด’ ก็สามารถนำไปสู่ความเสียหายทางการเงินครั้งใหญ่ในระบบ DeFi ได้ หากฟังก์ชันหลักอย่าง ‘checked_shlw’ ไม่สามารถจัดการความผิดปกติ เช่น โอเวอร์โฟลว์ ได้อย่างถูกต้อง แฮกเกอร์อาจล้มล้างกลไกทั้งหมดของระบบได้ทันที
บริษัทด้านความปลอดภัยยังเตือนนักพัฒนาบนแพลตฟอร์ม DeFi ให้ใส่ใจในการตรวจสอบสูตรคำนวณทางคณิตศาสตร์ที่ใช้ในการกำหนดมูลค่าสินทรัพย์และสภาพคล่อง โดยเน้นว่า ‘บรรทัดโค้ดเดียว’ หากเขียนผิดหรือไม่ถูกตรวจสอบ อาจสร้างความเสียหายระดับหลายหมื่นล้านวอนได้
ความคิดเห็น 0