โครงการ DeFi ถูกโจมตีอีกครั้ง และขาดทุนกว่า 300,000 ดอลลาร์สหรัฐฯ

特邀专栏作者

2020-04-19 03:38

บทความนี้มีประมาณ 1123 คำ การอ่านทั้งหมดใช้เวลาประมาณ 2 นาที

อาจไม่ใช่ตลาดที่เป็นอุปสรรคต่อการพัฒนา DeFi แต่เป็นประเด็นด้านความปลอดภัย

ไม่ต้องสงสัยเลยว่าการเงินแบบกระจายอำนาจ (DeFi) เป็นหัวใจสำคัญของระบบนิเวศ Ethereum ในช่วงปีที่ผ่านมา แต่น่าเสียดายที่การใช้งานบนบล็อกเชนที่ใหญ่เป็นอันดับสองตามมูลค่าราคาตลาดของสกุลเงินดิจิทัลนั้นไม่ได้มีข้อบกพร่องในตัวมันเอง

รายงานเมื่อวานนี้ระบุว่าโปรโตคอล Star DeFi ถูกแฮ็กสำหรับ Ethereum และโทเค็น Bitcoin เมื่อวันที่ 18 เมษายน

Uniswap เป็นโปรโตคอลแลกเปลี่ยนโทเค็นที่ใช้ Ethereum ซึ่งไม่เพียงแต่แตกต่างจากการแลกเปลี่ยนสกุลเงินดิจิทัลแบบดั้งเดิมเท่านั้น แต่ยังแตกต่างจากการแลกเปลี่ยนโทเค็นแบบกระจายศูนย์ทั่วไปอีกด้วย Uniswap คือชุดของสัญญาที่นำไปใช้กับเครือข่าย Ethereum และธุรกรรมทั้งหมดจะดำเนินการในห่วงโซ่

ชื่อเรื่องรอง

cryptocurrency มูลค่า 300,000 ดอลลาร์ถูกขโมย

Julien Bouteloup ผู้พัฒนาบล็อกเชนและผู้เชี่ยวชาญด้าน DeFi กล่าวว่าผู้โจมตีจัดการเพื่อระบายกลุ่ม Uniswap (ตลาด) และในกระบวนการนี้ได้รับ ETH มูลค่ามากกว่า $300,000 และ ETH เวอร์ชัน tokenized Bitcoin imBTC

“พูลโทเค็นไอออน imBTC บน Uniswap ถูกโจมตีและระบายออก การโจมตีง่ายๆ บน Uniswap ทำให้พวกเขาขโมย ETH + BTC ไปกว่า 300,000 ดอลลาร์” Julien เขียนบน Twitter ของเขา

ปัญหานี้อธิบายไว้ใน GitHub ของ Uniswap ว่า "liquidity pool อาจถูกขโมยโดยโทเค็นบางตัว (เช่น ERC-777)" และปัญหานี้ถูกกำหนดให้เป็นช่องโหว่ด้านความปลอดภัยที่สำคัญ วิธีแก้ปัญหา ยังคงระบุว่า "ปัญหากำลังอยู่ระหว่างการตรวจสอบ"

ในขณะที่ยังไม่มีการเผยแพร่รายงานชันสูตรศพเกี่ยวกับเหตุการณ์นี้ Bouteloup อ้างว่าการตรวจสอบโปรโตคอล Uniswap ที่ใช้ ethereum เมื่อ 16 เดือนที่แล้วได้อธิบายถึงช่องโหว่ที่ทำให้ผู้ใช้สามารถค้นพบ cryptocurrencies บางอย่างได้

ตามโพสต์ของ GitHub ที่เปิดเผยรายละเอียดของการตรวจสอบ การใช้ประโยชน์เกี่ยวข้องกับผู้โจมตีที่สร้าง "การแลกเปลี่ยนปลอม (กลุ่ม)" ที่คล้ายกับการแลกเปลี่ยนดั้งเดิม

จากนั้นผู้โจมตีสามารถจัดการ Uniswap เพื่อทำให้สินทรัพย์ในกลุ่มเดิมมีราคาถูกมากในทันที ทำให้พวกเขาสามารถชำระสินทรัพย์ในราคาที่ต่ำกว่ามูลค่าตลาดจริง

ชื่อเรื่องรอง

การโจมตี DeFi นั้นไม่ได้แยกเป็นกรณีๆ ไป

นี่ไม่ใช่ครั้งแรกที่ผู้ใช้ใช้ประโยชน์จากข้อบกพร่องในโปรโตคอล DeFi ที่ใช้ Ethereum เพื่อเก็บเกี่ยวผลกำไรมหาศาลในช่วงไม่กี่เดือนที่ผ่านมา

ในเดือนกุมภาพันธ์ของปีนี้ โปรโตคอล bZx ประสบกับการโจมตี 2 ครั้ง และเวลาระหว่างการโจมตีทั้งสองนั้นห่างกันเพียงไม่กี่วัน การโจมตีทั้ง 2 ครั้งนั้นไม่เหมือนกันทุกประการแต่สาระสำคัญมีดังนี้:

ผู้ใช้ถอน ETH จำนวนมากจาก bZx สำหรับ "สินเชื่อแฟลช" ซึ่งผู้ใช้ยืมและคืนเงินที่ยืมมาในธุรกรรมเดียวกัน

ETH ถูกใช้เพื่อซื้อสินทรัพย์อื่นที่ใช้ Ethereum และผู้ใช้ปรับใช้การดำเนินการเพื่อเปลี่ยนราคาของสินทรัพย์ที่ใช้ Ethereum ในโปรโตคอลอื่น ทำให้ได้กำไรจากราคา Oracle ที่ไม่ถูกต้อง

ข้อความต้นฉบับมาจาก bitcoinist ซึ่งรวบรวมโดยทีม BluemountainLabs ลิขสิทธิ์ภาษาอังกฤษเป็นของผู้เขียนต้นฉบับ โปรดติดต่อบรรณาธิการเพื่อพิมพ์ซ้ำภาษาจีน