ปัจจุบันนั้นมันไม่ใช่เรื่องที่น่าสงสัยอีกต่อไปว่าระบบ decentralized finance ( DeFi) นั้นเป็นเหมือนกับ ecosystem ศูนย์กลางของ Ethereum ในช่วงหนึ่งปีที่ผ่านมา แต่ทว่าโชคไม่ดีที่ระบบดังกล่าวนั้นก็ไม่ได้สมบูรณ์แบบไปเสียหมด เมื่อระบบความปลอดภัยของมันนั้นก็ยังมีข้อเสียอยู่บ้าง
รายงานจากเมื่อวันที่ 18 เมษายนที่ผ่านมาเผยว่าตัวโพรโตคอลดังกล่าวนั้นได้ถูกแฮ็ค และขโมยเหรียญโทเค็นในรูปแบบ bitcoin และ Ethereum รวมกันมีมูลค่ากว่า 9.7 ล้านบาทไปได้
เหรียญ ETH และ BTC ถูกขโมย
โดยอ้างอิงจากนักพัฒนา DeFi รายหนึ่งนามว่า Julien Bouteloup นั้น เขาเผยว่าผู้โจมตีนั้นได้พยายามที่จะดูด Uniswap-based pool แห่งหนึ่ง และได้ขโมยเหรียญ ETH และเหรียญโทเค็นที่มี Bitcoin มาแบคไว้อย่าง imBTC ไปด้วย
“pool แบบ uniswap ของ imBTC Tokenlol นั้นได้ถูกโจมตี และดูดออกไป ระบบ simple attack vector บน Uniswap [ได้อนุญาตให้ผู้โจมตี] ขโมยเหรียญ ETH และ BTC มูลค่ารวมกันกว่า 300,000 ดอลลาร์” เขากล่าว
แม้ว่าจะยังไม่มีการตรวจสอบตัวเลขความเสียหายอย่างละเอียดนั้น นาย Bouteloup อ้างว่าการเจาะช่องโหว่ในครั้งนี้ถือเคยถูกอธิบายในการออดิตระบบโพรโตคอลไปเมื่อ 16 เดือนที่แล้ว แต่เหตุการณ์ดังกล่าวก็ยังเกิดขึ้นได้อีก
โพสต์บนเว็บไซต์ GitHub โพสต์หนึ่งนั้นได้เผยให้เห็นถึงรายละเอียดในการออดิต ที่ชี้ให้เห็นช่องโหว่ที่ผู้โจมตีสามารถสร้าง “ecchange pool ปลอม” ขึ้นมา โดยมีลักษณะเหมือนกับของแท้
จากนั้นนักแฮ็คก็จะสามารถจัดการหลอก Uniswap เพื่อทำให้ราคาเหรียญทุกเหรียญใน protocol ตัวที่แท้จริงมีราคาที่ถูกลงมาก ๆ ทำให้พวกเขาสามารถกว้านซื้อเหรียญเหล่านั้นไปในราคาที่ต่ำกว่าตลาดจริง ๆ มาก
ซึ่งในครั้งนี้เหรียญที่ถูกขโมยไปนั้นคือ imBTC
ไม่ใช่การเจาะระบบ DeFi ครั้งแรก
นี่ไม่ใช่ครั้งแรกที่มีการเจาะระบบของ DeFi โดยอาศัยช่องโหว่ และขโมยเงินออกไปได้
ก่อนหน้านี้ทางสยามบล็อกเชนได้รายงานไปแล้วเมื่อเดือนกุมภาพันธ์ที่ผ่านมาว่าโพรโตคอล bZx นั้นได้ถูกโจมตีเป็นเวลาสองครั้งในวันเดียวกัน โดยการโจมตีทั้งสองนั้นดูเหมือนว่าจะไม่เหมือนกัน แต่เทคนิคนั้นดูเหมือนว่าจะอยู่ในลักษณะนี้
- ผู้ใช้งานรายหนึ่งทำการ “flash loan” เหรียญ ETH เป็นจำนวนมากจาก bZx การ flash loan นั้นคือการที่ผู้ใช้งานทำการกู้และคืนเหรียญในการทำธุรกรรมเดียวกัน 1 ธุรกรรม
- เหรียญ ETH นั้นถูกใช้เพื่อซื้อเหรียญโทเค็นอื่น ๆ
- หลักจากนั้นผู้ใช้งานก็จะทำการหลอก protocol ให้เห็นราคาของเหรียญโทเค็นเป็นไปในรูปแบบที่เขาต้องการ และก็ทำกำไรจากความแตกต่างของราคา
การโจมตีดังกล่าวทำให้ผู้ใช้งาน bZx ในระบบนั้นต้องสูญเงินรวมกันเกือบ 1 ล้านดอลลาร์
กดคลิกเพื่อแสดงความเห็น