สรุปข่าว
- แพลตฟอร์มการเงินแบบกระจายศูนย์ Aztec Connect ซึ่งหยุดให้บริการไปแล้วถูกโจมตีผ่านช่องโหว่ของ smart contract ส่งผลให้สูญเสียสินทรัพย์คริปโตมูลค่าประมาณ 2.1 ล้านดอลลาร์เมื่อช่วงสุดสัปดาห์ที่ผ่านมาโดยไม่ส่งผลกระทบต่อเครือข่ายปัจจุบัน
- บริษัทรักษาความปลอดภัยทางไซเบอร์ BlockSec ตรวจพบว่าแฮ็กเกอร์อาศัยความผิดพลาดของระบบตรวจสอบธุรกรรมและ ZK proof ในการสร้างยอดคงเหลือปลอมเพื่อถอนเหรียญออกไปจำนวนเจ็ดครั้งซึ่งได้เหรียญอย่าง ETH และ DAI ติดมือไปจำนวนมาก
- เหตุการณ์ครั้งนี้ถือเป็นเครื่องเตือนใจชั้นดีว่าแม้โปรเจกต์ DeFi จะถูกปิดตัวลงหรือเลิกพัฒนาไปแล้วนานหลายปีแต่ smart contract ที่ยังคงทำงานอยู่บนบล็อกเชนและไม่สามารถแก้ไขได้ก็ยังคงตกเป็นเป้าหมายอันโอชะของเหล่าอาชญากรไซเบอร์ได้เสมอ
แนวโน้มผลกระทบต่อราคา Neutral
เนื่องจากเป็นเหตุการณ์ที่เกิดขึ้นกับแพลตฟอร์มเวอร์ชันเก่าที่ถูกระงับการใช้งานไปแล้วและไม่ได้สร้างความเสียหายต่อเงินทุนในเครือข่ายหลักปัจจุบันจึงไม่มีผลกระทบต่อทิศทางราคาของตลาดคริปโตโดยรวมแต่อย่างใด
เมื่อวันอาทิตย์ที่ผ่านมามีรายงานการโจมตีแพลตฟอร์ม Aztec Connect ซึ่งเป็นแพลตฟอร์ม DeFi ที่ยุติการให้บริการไปแล้ว โดยแฮ็กเกอร์สามารถเจาะผ่านช่องโหว่ของฟังก์ชันการตรวจสอบสิทธิ์และขโมยสินทรัพย์คริปโตออกไปได้มูลค่าราว 2.1 ล้านดอลลาร์
ทางด้าน Aztec Labs ได้ออกมาโพสต์ข้อความผ่านแพลตฟอร์ม X ทันทีว่าทีมงานกำลังตรวจสอบความเป็นไปได้ของการโจมตีที่เกิดขึ้นกับ Aztec Connect พร้อมทั้งยืนยันว่าเงินจำนวน 2.1 ล้านดอลลาร์ที่ถูกโอนออกจาก smart contract ของแพลตฟอร์มเก่านี้ ไม่ได้สร้างผลกระทบใดๆ ต่อผู้ใช้งานหรือสินทรัพย์ที่อยู่บนเครือข่าย Aztec Network ในปัจจุบันเลย
ข้อมูลจาก DeFiLlama ชี้ให้เห็นว่าเหตุการณ์นี้เป็นเพียงยอดภูเขาน้ำแข็งของการโจมตีในเดือนนี้เท่านั้น เพราะหากนับรวมความเสียหายทั้งหมดที่เกิดจากการแฮ็กอย่างน้อย 12 ครั้งในช่วงเดือนมิถุนายน ตัวเลขมูลค่าคริปโตที่ถูกขโมยไปนั้นพุ่งสูงถึง 44 ล้านดอลลาร์เข้าไปแล้ว
สถิติการโจมตีที่สร้างความเสียหายหนักที่สุดในเดือนนี้คือกรณีการหลุดรอดของ private key บน Humanity Protocol เมื่อวันที่ 8 มิถุนายน ซึ่งทำให้สูญเงินไปถึง 30 ล้านดอลลาร์ ตามมาด้วยการโจมตี Syscoin Bridge ผ่านการสร้างหลักฐานการทำธุรกรรมปลอมที่กวาดเงินไปได้อีก 8 ล้านดอลลาร์
สำหรับกรณีของ Aztec Connect นั้น บริษัทรักษาความปลอดภัยคริปโตอย่าง BlockSec ได้ออกมาอธิบายว่า แฮ็กเกอร์อาศัยจังหวะความไม่สอดคล้องกันระหว่างระบบที่แพลตฟอร์มใช้ตรวจสอบธุรกรรมกับระบบชำระดุลบนเครือข่าย Ethereum
พวกเขาพบว่าธุรกรรมที่ผ่านการตรวจสอบบน smart contract ของ Aztec Connect ไม่ได้ถูกผูกมัดเข้ากับชุดธุรกรรมที่ควบคุมโดยระบบ ZK proof อย่างมีประสิทธิภาพ ซึ่งช่องโหว่นี้เปิดโอกาสให้เส้นทางการตรวจสอบและตรรกะการชำระดุลบน Ethereum ตีความรายการธุรกรรมผิดเพี้ยนไปจากความเป็นจริง
ความผิดพลาดนี้ทำให้แฮ็กเกอร์สามารถส่งคำสั่งทำธุรกรรมเข้าไปเพื่อให้ smart contract เพิ่มมูลค่าเงินให้โดยไม่ต้องผ่านการตรวจสอบบน Ethereum อย่างถูกต้อง ส่งผลให้เกิดยอดเงินคงเหลือแบบไม่มีสินทรัพย์ค้ำประกันขึ้นมาในระบบ และแฮ็กเกอร์ก็ทำการถอนเงินส่วนนั้นออกไปอย่างง่ายดาย
การโจมตีด้วยวิธีนี้ถูกทำซ้ำถึงเจ็ดครั้งกับสินทรัพย์เจ็ดประเภทที่แตกต่างกัน ซึ่งแฮ็กเกอร์สามารถหอบเงินหนีไปได้หลายรายการ ไม่ว่าจะเป็น 909 ETH หรือ 270,000 DAI รวมถึงเหรียญ wrapped staked ETH อีกจำนวน 167 เหรียญ และสกุลเงินคริปโตอื่นๆ อีกจำนวนหนึ่ง
ย้อนกลับไปทำความเข้าใจระบบนี้กันสักนิด Aztec Network คือเครือข่าย layer-2 บน Ethereum ที่เน้นเรื่องความเป็นส่วนตัวโดยใช้เทคโนโลยี zero-knowledge rollup ส่วน Aztec Connect ก็คือแพลตฟอร์มเวอร์ชันก่อนหน้าที่เปิดตัวในปี 2022 เพื่อทำหน้าที่เป็นสะพานเชื่อมต่อสำหรับ DeFi
ต่อมาในเดือนมีนาคม 2023 แพลตฟอร์ม Aztec Connect ก็ถูกประกาศยกเลิกการใช้งานอย่างเป็นทางการ โดยมีการระงับการฝากเงินและทีมงานก็ย้ายทรัพยากรทั้งหมดไปมุ่งพัฒนา Aztec Network รุ่นต่อไปแทน
ทีมงานเคยออกมาระบุชัดเจนว่า Aztec Labs ไม่ได้ถือครองกุญแจผู้ดูแลระบบและไม่มีอำนาจควบคุมระบบเก่านี้อีกต่อไป ซึ่งนั่นหมายความว่าพวกเขาไม่สามารถสั่งระงับการทำงานหรืออัปเกรดใดๆ ได้เลย
สอดคล้องกับความเห็นของนักพัฒนาคริปโตที่ใช้ชื่อว่า Param ซึ่งออกมายืนยันว่า smart contract ของ Aztec Connect ได้เข้าสู่สถานะที่ไม่สามารถแก้ไขเปลี่ยนแปลงได้อย่างสมบูรณ์แล้ว จึงไม่มีใครสามารถเข้าไปอัปเกรดหรือกดปุ่มหยุดการทำงานของมันได้อีก
เขาได้ทิ้งท้ายไว้อย่างน่าสนใจว่า เหตุการณ์ในครั้งนี้เป็นอีกหนึ่งเครื่องเตือนใจว่า smart contract ของแอปพลิเคชัน DeFi ที่ถูกทอดทิ้งไปแล้ว ยังคงสามารถตกเป็นเป้าหมายของการโจมตีได้เสมอแม้ว่าเวลาจะผ่านไปนานหลายปีก็ตาม
ที่มา: cointelegraph
มุมมองส่วนตัวผมประเมินว่าเรื่องนี้สะท้อนให้เห็นถึงดาบสองคมของเทคโนโลยีบล็อกเชนครับ การที่ smart contract ทำงานได้ด้วยตัวเองโดยไม่สามารถแก้ไขได้ถือเป็นจุดเด่นเรื่องความโปร่งใสและไร้ตัวกลาง แต่เมื่อโปรเจกต์ถูกปิดตัวลงโดยที่ยังมีเงินค้างอยู่ในระบบ โค้ดเหล่านั้นก็จะกลายเป็นเหมือนตู้เซฟที่ถูกทิ้งไว้กลางแจ้งรอให้แฮ็กเกอร์มาหาวิธีงัดแงะในสักวัน สำหรับนักลงทุนแล้วการทิ้งเงินไว้ในโปรเจกต์ที่ยุติการพัฒนาไปแล้วจึงเป็นความเสี่ยงที่มองไม่เห็นซึ่งควรหลีกเลี่ยงอย่างยิ่งครับ
