แอพ DeFi ตัวหนึ่งถูกโจมตี สูญ Bitcoin และ Ethereum รวมกันมูลค่ากว่า 9.7 ล้านบาท

ติดตามสยามบล็อกเชนบน

ปัจจุบันนั้นมันไม่ใช่เรื่องที่น่าสงสัยอีกต่อไปว่าระบบ decentralized finance (DeFi) นั้นเป็นเหมือนกับ ecosystem ศูนย์กลางของ Ethereum ในช่วงหนึ่งปีที่ผ่านมา แต่ทว่าโชคไม่ดีที่ระบบดังกล่าวนั้นก็ไม่ได้สมบูรณ์แบบไปเสียหมด เมื่อระบบความปลอดภัยของมันนั้นก็ยังมีข้อเสียอยู่บ้าง

รายงานจากเมื่อวันที่ 18 เมษายนที่ผ่านมาเผยว่าตัวโพรโตคอลดังกล่าวนั้นได้ถูกแฮ็ค และขโมยเหรียญโทเค็นในรูปแบบ bitcoin และ Ethereum รวมกันมีมูลค่ากว่า 9.7 ล้านบาทไปได้

เหรียญ ETH และ BTC ถูกขโมย

โดยอ้างอิงจากนักพัฒนา DeFi รายหนึ่งนามว่า Julien Bouteloup นั้น เขาเผยว่าผู้โจมตีนั้นได้พยายามที่จะดูด Uniswap-based pool แห่งหนึ่ง และได้ขโมยเหรียญ ETH และเหรียญโทเค็นที่มี Bitcoin มาแบคไว้อย่าง imBTC ไปด้วย

“pool แบบ uniswap ของ imBTC Tokenlol นั้นได้ถูกโจมตี และดูดออกไป ระบบ simple attack vector บน Uniswap [ได้อนุญาตให้ผู้โจมตี] ขโมยเหรียญ ETH และ BTC มูลค่ารวมกันกว่า 300,000 ดอลลาร์” เขากล่าว

imBTC @tokenlon pool on @Uniswap has been attacked & drained?

Simple attack vector on ERC777 (with arbitrary code execution during transfer fct) on Uniswap to steal >$300k (#ETH+#BTC)

The vulnerability was described 16mths ago: https://t.co/a3AiJyY969 https://t.co/MKC2jNP1Y4 pic.twitter.com/cXOVu6le3P
— Julien Bouteloup (@bneiluj) April 18, 2020

แม้ว่าจะยังไม่มีการตรวจสอบตัวเลขความเสียหายอย่างละเอียดนั้น นาย Bouteloup อ้างว่าการเจาะช่องโหว่ในครั้งนี้ถือเคยถูกอธิบายในการออดิตระบบโพรโตคอลไปเมื่อ 16 เดือนที่แล้ว แต่เหตุการณ์ดังกล่าวก็ยังเกิดขึ้นได้อีก

โพสต์บนเว็บไซต์ GitHub โพสต์หนึ่งนั้นได้เผยให้เห็นถึงรายละเอียดในการออดิต ที่ชี้ให้เห็นช่องโหว่ที่ผู้โจมตีสามารถสร้าง “ecchange pool ปลอม” ขึ้นมา โดยมีลักษณะเหมือนกับของแท้

จากนั้นนักแฮ็คก็จะสามารถจัดการหลอก Uniswap เพื่อทำให้ราคาเหรียญทุกเหรียญใน protocol ตัวที่แท้จริงมีราคาที่ถูกลงมาก ๆ ทำให้พวกเขาสามารถกว้านซื้อเหรียญเหล่านั้นไปในราคาที่ต่ำกว่าตลาดจริง ๆ มาก

ซึ่งในครั้งนี้เหรียญที่ถูกขโมยไปนั้นคือ imBTC

ไม่ใช่การเจาะระบบ DeFi ครั้งแรก

นี่ไม่ใช่ครั้งแรกที่มีการเจาะระบบของ DeFi โดยอาศัยช่องโหว่ และขโมยเงินออกไปได้

ก่อนหน้านี้ทางสยามบล็อกเชนได้รายงานไปแล้วเมื่อเดือนกุมภาพันธ์ที่ผ่านมาว่าโพรโตคอล bZx นั้นได้ถูกโจมตีเป็นเวลาสองครั้งในวันเดียวกัน โดยการโจมตีทั้งสองนั้นดูเหมือนว่าจะไม่เหมือนกัน แต่เทคนิคนั้นดูเหมือนว่าจะอยู่ในลักษณะนี้

ผู้ใช้งานรายหนึ่งทำการ “flash loan” เหรียญ ETH เป็นจำนวนมากจาก bZx การ flash loan นั้นคือการที่ผู้ใช้งานทำการกู้และคืนเหรียญในการทำธุรกรรมเดียวกัน 1 ธุรกรรม
เหรียญ ETH นั้นถูกใช้เพื่อซื้อเหรียญโทเค็นอื่น ๆ
หลักจากนั้นผู้ใช้งานก็จะทำการหลอก protocol ให้เห็นราคาของเหรียญโทเค็นเป็นไปในรูปแบบที่เขาต้องการ และก็ทำกำไรจากความแตกต่างของราคา

การโจมตีดังกล่าวทำให้ผู้ใช้งาน bZx ในระบบนั้นต้องสูญเงินรวมกันเกือบ 1 ล้านดอลลาร์

เหรียญ ETH และ BTC ถูกขโมย

ไม่ใช่การเจาะระบบ DeFi ครั้งแรก

กดคลิกเพื่อแสดงความเห็น