หมายเหตุบรรณาธิการ: บทความนี้มาจากDODOZooหมายเหตุบรรณาธิการ: บทความนี้มาจาก
ผู้เขียน: Radar Bear ทำซ้ำโดย Odaily โดยได้รับอนุญาต
มีบทความเผยแพร่อย่างกว้างขวาง "Ethereum: Dark Forest" ในบทความนี้จะแนะนำ "หุ่นยนต์ซื้อขายสากล" หุ่นยนต์ตัวนี้จะฟังการทำธุรกรรมที่ออกอากาศแต่ยังไม่ได้อยู่ในห่วงโซ่ เมื่อพบว่าธุรกรรมเดิมมีกำไร ธุรกรรมเดิมจะถูกส่งไปพร้อมกับแก๊สที่สูงขึ้นเพื่อคว้าธุรกรรมก่อนธุรกรรมดั้งเดิม(ถ้าคุณเคยดูนารูโตะ มันก็เหมือนการลอกแบบนินจาคาคาชิ ลอกแบบนินจาแห่งซาบุสะ แล้วยึดครอง)
โลกของ Ethereum เป็นเหมือนป่ามืดที่เต็มไปด้วยหุ่นยนต์เหล่านี้ และทุกการเคลื่อนไหวของคุณจะถูกแอบสังเกต ฟังดูเป็นเรื่องราวที่เย็นชาและไร้หัวใจ แต่สิ่งที่เรากำลังจะบอกนั้นเต็มไปด้วยความอบอุ่นและความกล้าหาญ
ตามเวลาปักกิ่ง วันที่ 9 มีนาคม เวลา 08.00 น.ฉันได้รับโทรศัพท์จากผู้จัดการชุมชนว่าสัญญาของเราถูกแฮกตอนตี 5 ฉันรีบโทรหาทีมเทคนิคเพื่อตรวจสอบสถานการณ์จากนั้นเราพบว่ามีช่องโหว่ในฟังก์ชันการเริ่มต้นของกองทุนรวม ซึ่งสามารถเรียกซ้ำได้ ผู้โจมตีใช้เงินกู้แฟลชเพื่อให้ยืมสกุลเงินจริง จากนั้นแทนที่คู่โทเค็นของกองทุนรวมด้วยสกุลเงินปลอมที่ผู้โจมตีสร้างขึ้นโดยการเริ่มต้นสัญญาใหม่ ดังนั้นจึงข้ามการตรวจสอบการคืนกองทุนของเงินกู้แฟลชนี่ไม่ใช่ปัญหาของ Peckshield ที่รับผิดชอบการตรวจสอบ แต่เราทำการปรับเปลี่ยนหลายอย่างเพื่อลดความซับซ้อนของตรรกะโค้ดก่อนที่จะออนไลน์ และพลาดการควบคุมสิทธิ์ เราทำผิดพลาดครั้งใหญ่โชคดีที่ปัญหานี้ส่งผลกระทบต่อธุรกิจบางส่วนของกลุ่มกองทุน V2 ของเราเท่านั้น และโมดูลธุรกรรมจะไม่ได้รับผลกระทบ และมีเพียงฝ่ายโครงการเท่านั้นที่ได้รับผลกระทบ และผู้ใช้ทั่วไปจะไม่สูญเสียเราเริ่มแก้ไขทันที ทีมเทคนิคช่วยกู้เงินทั้งหมดที่ยังมีช่องโหว่ (ประมาณ 80,000 ดอลลาร์สหรัฐ) ได้ภายใน 15 นาที หลังจากนั้น ทางเข้าอาคารสระว่ายน้ำถูกปิดบนผลิตภัณฑ์ และสถานีปฏิบัติการได้ออกประกาศเพื่อแจ้งให้ผู้ใช้และฝ่ายโครงการทราบถึงความคืบหน้าของเรื่องนี้
ในเวลาเดียวกัน เรานับการสูญเสีย USDT, ETH และโทเค็นโครงการมูลค่าประมาณ 3.8 ล้านดอลลาร์สหรัฐ หลังจากนั้นเราก็เริ่มติดตามทันที
เมื่อเวลา 08.30 น. วันที่ 9 มีนาคม ตามเวลาปักกิ่งภายในครึ่งชั่วโมงหลังเหตุการณ์ ฉันได้รับข้อความส่วนตัวจากกลุ่มหมวกขาว samczsun แจ้งว่ามีบุคคลลึกลับที่ไม่ประสงค์ออกนาม ให้เราเรียกว่าคุณเสือชีตาห์ "ได้รับโดยบังเอิญ" หนึ่งในจำนวนเงิน 189w เงินที่ถูกขโมยและมอบหมายให้ samczsun แจ้งให้เราทราบว่าพวกเขายินดีที่จะคืนเงินเต็มจำนวนให้กับเรา
คุณชีต้าร์คือใคร เขาได้ส่วนหนึ่งของเงินที่ถูกขโมยมาได้อย่างไร และเขารู้ที่อยู่หรือเบาะแสของเงินที่เหลือที่ถูกขโมยไปหรือไม่?
หลังจากวิเคราะห์เหตุการณ์การโจมตี เราพบว่ามีที่อยู่สองแห่งที่ทำการโจมตี ซึ่งเราเรียกว่า Mr. Hippo (0x368) และ Mr. Antelope (0x355)นายฮิปโปทำการโจมตีสองครั้ง ในหมู่พวกเขา 200,000 ดอลลาร์สหรัฐเข้าสู่การแลกเปลี่ยนแบบรวมศูนย์ และเราได้ติดต่อการแลกเปลี่ยนทันทีเพื่อหยุดมัน และอีกจำนวน 189 ดอลลาร์สหรัฐตรงกับจำนวนเงินที่คุณชีตาร์ต้องการคืนให้เรา ดังนั้นเราจึงคาดเดาว่า Mr. Hippo น่าจะเป็น Mr. Cheetah และน่าจะเป็นแฮ็กเกอร์หมวกขาว
Mr. Antelope ดูเหมือนจะไม่ใช่คนเลวเช่นกัน การโจมตีของเขารับรู้ผ่าน "หุ่นยนต์ซื้อขายสากล" การทำธุรกรรมต้องใช้ราคาแก๊สสูงถึง 90,000gWei และค่าธรรมเนียมของนักขุดสำหรับการทำธุรกรรมครั้งเดียวก็สูงมาก เป็น 8ETH เมื่อพิจารณาจากเงื่อนงำบนโซ่ เป็นไปได้มากว่าหุ่นยนต์ของ Mr. Antelope จะยึดครองการทำธุรกรรมของ Mr. Hippo ผู้โจมตีโดยอัตโนมัติ และ Mr. Antelope อาจยังไม่รู้!
นับเป็นข่าวดีอีกข่าวหนึ่งของเรา หากติดต่อ Mr. Antelope ได้ เงินอาจได้คืน
ความลึกลับเริ่มใหญ่ขึ้นเรื่อย ๆตามเวลาปักกิ่ง วันที่ 9 มีนาคม เวลา 21.00 น.หลังจากรอเป็นเวลาหนึ่งวัน เราได้รับเงินคืนจากคุณเสือชีตาห์ ($189w) และในขณะเดียวกันก็ได้รับข้อความ: คุณเสือชีตาห์ไม่ยอมรับว่าเขาคือคุณฮิปโป
ตอนนี้ความลึกลับยิ่งใหญ่ขึ้น มีอย่างน้อยสามฝ่ายที่เกี่ยวข้องกับการโจมตีครั้งนี้! นอกจากนี้ เราไม่รู้ว่านายเสือชีต้าได้ทรัพย์สินของนายฮิปโปมาได้อย่างไร ในเวลานั้น คนเดียวที่เรามีโอกาสติดต่อด้วยคือคุณเสือชีตาห์ ผู้คุ้นเคยกับกฎแห่งป่ามืด
แม้ว่า Mr. Cheetah ประสงค์จะไม่เปิดเผยตัวตน แต่ทาง samczsun และเพื่อนบางคน เราได้สื่อสารความตั้งใจของเราในการสร้างความสัมพันธ์โดยตรงกับ Mr. Cheetah หลังจากรอหลายชั่วโมง ฉันได้รับข้อความส่วนตัวทางโทรเลข
วันที่ 10 มีนาคม เวลาปักกิ่ง เวลา 01.30 น.ฉันไม่เคยคาดคิดว่าคุณเสือชีตาร์จะเป็นคนรู้จักเก่าที่ฉันรู้จัก ฉันรู้จักเขาตั้งแต่ปี 2018 ตอนที่ฉันยังทำงานพัฒนาที่ DDEX เราจะหารือเกี่ยวกับปัญหาการพัฒนาสัญญาร่วมกัน ฉันขาดการติดต่อหลังจากออกจาก DDEX และเขาไม่คิดว่าฉันจะกลายเป็นหุ้นส่วนผู้ก่อตั้ง DODOคุณชีตาห์บอกว่าคุณฮิปโปเป็นคนโจมตี เขาโอนเงินที่ได้รับจากการโจมตีเข้าสู่สัญญา และสัญญานี้มีช่องโหว่ และทุกคนสามารถถอนเหรียญได้ มิสเตอร์ฮิปโปถูกหุ่นยนต์ของมิสเตอร์ชีตาห์กระชากไปขณะที่เขากำลังถอนเหรียญ ดังนั้น "ได้เงินมา" โดยไม่ได้ตั้งใจ
แล้วเงินที่เหลือที่ถูกขโมยไปล่ะ? ตอนที่เรากำลังคุยกันว่าจะติดต่อคุณแอนเทอโลปได้อย่างไร เขาริเริ่มที่จะติดต่อฉัน
วันที่ 10 มีนาคม เวลา 03.00 น. ตามเวลาปักกิ่ง
Mr. Antelope ส่งอีเมลถึงฉันโดยไม่ระบุตัวตนและแสดงความเต็มใจที่จะคืนเงิน (มูลค่าประมาณ 1.2 ล้านดอลลาร์สหรัฐ) ในที่สุดฉันก็ถอนหายใจด้วยความโล่งอกและส่วนที่สำคัญที่สุดสองส่วนก็ได้รับคืนแล้ว ยิ่งไปกว่านั้น คุณ Antelope ได้เปิดเผยเหตุการณ์มากมายที่เขาเฝ้าติดตามให้เราฟัง เพื่อให้เราได้เห็นภาพรวมของเหตุการณ์ทั้งหมดในที่สุด
- (ที่นี่เราไม่ได้แสดงรายการ txHash ที่เฉพาะเจาะจงมากเพราะเพื่อนของเราต้องการให้คีย์ต่ำ)
- ผู้โจมตีที่แท้จริงคือคุณฮิปโป
- เขาดำเนินการโจมตีสองครั้ง แต่ถูกควบคุมโดยหุ่นยนต์ของ Mr. Antelope
- ผิดหวัง มิสเตอร์ฮิปโปใช้เวลาสักครู่เพื่อเขียนสัญญาเพื่อข้ามบอทซื้อขายของมิสเตอร์แอนเทอโลป และคราวนี้เขาทำสำเร็จ เงินตกลงในสัญญาของนายฮิปโป
- แต่เมื่อมิสเตอร์ฮิปโปถอนเหรียญออกจากสัญญา เขาก็ถูกหุ่นยนต์ซื้อขายของมิสเตอร์ชีต้าขัดขวางอีกครั้ง! มิสเตอร์แอนทีโลปและมิสเตอร์ชีตาห์มีการต่อสู้ด้วยแก๊ส และในที่สุดมิสเตอร์ชีตาห์ก็ชนะ ถึงตอนนี้ คุณฮิปโปได้ทำการโจมตี 3 ครั้ง แต่ไม่พบอะไรเลย ทั้งหมดถูกหุ่นยนต์ฉวยเอาไปในป่าอันมืดมิด!
ต่อจากนั้น มิสเตอร์ฮิปโปทำการโจมตีสำเร็จสองครั้ง แต่จำนวนเงินค่อนข้างน้อย และเขาได้รับเงินรวมประมาณ 200,000 ดอลลาร์สหรัฐ เรายังคงไล่ตามเงิน
ในที่สุด ภายใน 24 ชั่วโมงหลังการโจมตี เราได้เงิน 3.1 ล้านดอลลาร์คืนจาก 3.8 ล้านดอลลาร์ที่ถูกขโมยไป
มีนักล่ามากมายในป่ามืด แต่พวกมันไม่เย็นชาและโหดเหี้ยมเหมือนในจินตนาการที่เป็นที่นิยม นักล่าบางคนเป็นสัตว์กินพืชขนาดใหญ่ที่อ่อนโยน เป็นอัศวินแห่งป่ามืดมิด สกัดกั้นเงินที่ขโมยมาจากแฮ็กเกอร์และส่งคืนให้กับผู้ที่ตกเป็นเหยื่อจนถึงทุกวันนี้ หลายคนยังคงคิดว่าโลกของสกุลเงินดิจิทัลเต็มไปด้วยสแกมเมอร์และแฮ็กเกอร์ และถูกรวมเข้าด้วยกันด้วยคำต่างๆ เช่น ธุรกรรมที่ผิดกฎหมาย การฉ้อโกง และการปกป้องสิทธิ์ แต่ในความเป็นจริง มีบทบาทที่แตกต่างกันมากมายในป่านี้: ปาร์ตี้โครงการ DeFi, ผู้ใช้ทั่วไป, คนที่กระตือรือร้นในการกินแตง, หุ่นยนต์เก็งกำไรที่มีทักษะศิลปะการต่อสู้ที่ยอดเยี่ยม, หมวกสีขาวที่คอยเฝ้าระวังและเป็นกลางแบบเรียลไทม์ และมือสมัครเล่นที่ไม่จำเป็น แฮ็กเกอร์ที่แม่นยำและเหี้ยมโหด แฮ็กเกอร์มืออาชีพที่มีทักษะ...
พวกเขาร่วมกันสร้างระบบนิเวศที่มีความยุติธรรมและศีลธรรมของตนเอง และผู้เข้าร่วมแต่ละคนมีบทบาทเป็นเจ้าหน้าที่บังคับใช้กฎหมายไม่มากก็น้อย สำหรับนักพัฒนาที่ซื่อสัตย์ มันเป็นป่ามืดที่อบอุ่น
ขอบคุณทุกคน
อันที่ยาก P Plus รองรับ หลังจากถูกโจมตี เราได้รับความช่วยเหลือจากเพื่อนหลายคน ฉันโชคดีมากที่มีคนดีมากมายในชุมชน Ethereum พวกเขาช่วย DODO ในช่วงเวลาที่ยากลำบากที่สุด เราขอคารวะอย่างสูงสุดต่ออัศวินและผู้ชอบธรรมใน Ethereum ชุมชน เหล่านี้รวมถึง:
samczsun、Tina
1inch、Tokenlon、Binance、Huobi、Etherscan
ยังมีเพื่อนอีกหลายคนที่คอยให้กำลังใจและปลอบใจเรา แม้ในการแข่งขันก็ยังยืนหยัดเคียงข้างเราในช่วงเวลาวิกฤตนี้ สิ่งนี้ทำให้เรารู้สึกว่ามีสิ่งอบอุ่นมากมายซ่อนอยู่ภายใต้รหัสเย็น เช่น การยกย่องในความซื่อสัตย์ การโหยหาความยุติธรรม และการทะนุถนอมชื่อเสียง
ก่อนที่นายแอนเทอโลปจะคืน vETH หุ่นยนต์ของเขาตกลงไปในกับดักน้ำผึ้งที่ออกแบบมาเป็นพิเศษสำหรับเขากับดักนี้ใช้ 0.05ETH เป็นเหยื่อในการฉ้อโกง 324 vETH มูลค่าประมาณ 500,000 ดอลลาร์สหรัฐ เราไม่รู้ว่าใครเป็นคนออกแบบกับดักนี้ อาจเป็นมิสเตอร์ฮิปโปที่ไม่เต็มใจ หรืออาจเป็นผู้ชมบางคน
ในที่สุดคุณแอนเทอโลปก็แบ่งปันความสูญเสียกับเราอย่างมีน้ำใจFlashbotsในทางกลับกัน นักวิจัยบางคนกำลังสร้าง "พอร์ทัล" ในป่ามืด เช่น สถาบันวิจัย MEV
IOS
Android