ผู้ให้บริการการแลกเปลี่ยนแฟลช TokenPocket ถูกขโมย ตรวจสอบอย่างรวดเร็วว่าคุณเปิด "การอนุญาตไม่
วันนี้ Transit Swap ผู้รวบรวม DEX แบบข้ามเชนถูกโจมตี ทำให้เงินของผู้ใช้จำนวนมากถูกถอนออกจากกระเป๋าเงินของพวกเขา ณ ตอนนี้ ความสูญเสียโดยประมาณเกินกว่า 23 ล้านเหรียญสหรัฐ
หลังจากพบการโจรกรรม ทีมเทคนิคของ Transit Swap ได้ระงับบริการอย่างเร่งด่วน สัญญาถูกระงับโดยสิ้นเชิง และไม่สามารถดำเนินการใดๆ ได้ ก่อนการแถลงข่าว Transit Swap ได้ประกาศอย่างเป็นทางการว่าสาเหตุของเหตุการณ์การแฮ็กครั้งก่อนคือข้อผิดพลาดของรหัส และระบุ IP, ที่อยู่อีเมล และที่อยู่เครือข่ายที่เกี่ยวข้องของแฮ็กเกอร์แล้ว ทีม Transit Swap ระบุว่าจะพยายามอย่างดีที่สุดเพื่อติดตามแฮ็กเกอร์และพยายามสื่อสารกับพวกเขาเพื่อช่วยให้ผู้ใช้กู้คืนความเสียหายได้
จากการวิเคราะห์ของ SlowMist สาเหตุหลักของการโจมตีนี้คือโปรโตคอล Transit Swap ไม่ได้ตรวจสอบข้อมูลที่ผู้ใช้ส่งผ่านระหว่างการแลกเปลี่ยนโทเค็นอย่างเคร่งครัด ซึ่งนำไปสู่ปัญหาการโทรจากภายนอกโดยพลการ โดยเฉพาะอย่างยิ่ง สัญญาการกำหนดเส้นทางเองไม่ได้กำหนดข้อจำกัดใดๆ ในพารามิเตอร์ TransferFrom และไม่ได้ตรวจสอบที่อยู่ของสัญญาแลกเปลี่ยนที่แยกวิเคราะห์และข้อมูลการโทร ผู้โจมตีใช้ประโยชน์จากข้อบกพร่องที่สัญญาพร็อกซีกำหนดเส้นทาง สัญญาบริดจ์เส้นทาง และสัญญาการจัดการสิทธิ์ไม่ตรวจสอบข้อมูลขาเข้า และเรียกใช้ฟังก์ชัน callBytes ของสัญญาเราเตอร์ติ้งบริดจ์ผ่านสัญญาตัวแทนกำหนดเส้นทางเพื่อถ่ายโอนข้อมูลที่สร้างขึ้น ด้วยเหตุนี้ ขโมยสิทธิ์ทั้งหมด Token สำหรับผู้ใช้ที่จัดการสัญญาสำหรับการอนุญาต
ปัจจุบัน แฮ็กเกอร์ได้โอนเงิน 2,500 BNB ไปยัง Tornado Cash และเงินที่เหลือกระจายอยู่ในที่อยู่ของแฮ็กเกอร์ หลังจากวิเคราะห์ร่องรอยของแฮ็กเกอร์แล้วพบว่าแฮ็กเกอร์มีร่องรอยการฝากและถอนเงินจากแพลตฟอร์มเช่น LATOKEN
นอกจากนี้ ทีมรักษาความปลอดภัย PeckShield ได้ยืนยันการไหลของเงินของแฮ็กเกอร์
ชื่อเรื่องรอง
การแลกเปลี่ยนแฟลชคืออะไร?
ในปัจจุบัน กระเป๋าเงินเกือบทั้งหมดมีฟังก์ชัน DeFi ในตัว และกระเป๋าเงินบางกระเป๋าได้สร้างและใช้แนวคิดของ "การแลกเปลี่ยนแฟลช" เพื่อความสะดวกในการใช้งาน
สิ่งที่เรียกว่าการแลกเปลี่ยนแฟลชนั้นผสานรวมเข้ากับกระเป๋าเงินอย่างลึกซึ้ง ซึ่งมีทางเข้าอิสระที่ชัดเจนกว่า กระบวนการดำเนินการที่ง่ายกว่า และการใช้งานที่สะดวกกว่าในผลิตภัณฑ์ ผู้ใช้ที่ใช้ Quick Exchange สามารถทำธุรกรรมสินทรัพย์ที่เข้ารหัสได้อย่างสะดวกและรวดเร็ว ตัวอย่างเช่น การดำเนินการ "อนุมัติ" มักจะรวมอยู่ในขั้นตอนการทำธุรกรรมด้วยการดำเนินการง่ายๆ เพียงคลิกเดียว และผู้ใช้แทบไม่มีความรู้สึก
ชื่อเรื่องรอง
ความเสี่ยงที่ซ่อนอยู่ในการอนุมัติสัญญามีกี่ข้อ?
"ไม่มีใครสามารถบังคับเอาทรัพย์สินที่เข้ารหัสของคุณออกไปได้" เป็นความเห็นพ้องกันอย่างกว้างขวางในหมู่นักลงทุนเกี่ยวกับคุณลักษณะของบล็อกเชน เมื่อทรัพย์สินในเครือข่ายเป็นของกระเป๋าเงินแล้ว จะไม่มีวิธีการบังคับในการโอนทรัพย์สินเหล่านั้น แต่เมื่อเราใช้ DEX สำหรับธุรกรรมบนเครือข่าย DEX จะรับสินทรัพย์หนึ่งและโอนไปยังอีกสินทรัพย์หนึ่งได้อย่างไร
ใบอนุญาตเป็นกุญแจสำคัญทั้งหมดนี้ ก่อนที่ผู้ใช้จะขายสินทรัพย์บน DEX พวกเขาจำเป็นต้องดำเนินการ "อนุมัติ" หลังจากการดำเนินการนี้ สัญญาจะมีอำนาจในการใช้โทเค็นบางอย่างของผู้ใช้
ชื่อเรื่องรอง
การตรวจสอบ = ความปลอดภัย?
แม้ว่าสัญญาจะมีความสามารถในการถ่ายโอนสินทรัพย์ที่เข้ารหัสหลังจากการอนุญาต แต่ก็ยังปลอดภัยที่จะใช้ความสามารถนี้ภายในช่วงที่เหมาะสมเท่านั้น และหากได้รับการตรวจสอบโดยหน่วยงานรักษาความปลอดภัยที่เชื่อถือได้ หมายความว่าความสามารถนี้จะไม่ถูกนำไปใช้ในทางที่ผิด และจะโอนเฉพาะทรัพย์สินที่จำเป็นสำหรับจำนวนเงินที่ทำธุรกรรมเมื่อผู้ใช้ทำธุรกรรมหรือไม่
จากมุมมองคงที่ ตรรกะนี้ถูกต้อง เช่นเดียวกับ Uniswap แม้ว่าจะมีความสามารถในการล้างกระเป๋าเงินของผู้ใช้ได้ตลอดเวลา แต่ก็ไม่ได้ทำเช่นนั้น แต่จากมุมมองแบบไดนามิก ตรรกะนี้ยังคงเป็นอันตราย
ในการพัฒนาซอฟต์แวร์สมัยใหม่ การอัพเกรดเป็นความสามารถที่ขาดไม่ได้ เช่นเดียวกับสัญญาอัจฉริยะ ในสัญญาอัจฉริยะของ Solidity มีวิธีอัปเกรดสองวิธี ได้แก่ แบบโปร่งใสและ UUPS ด้วยฟังก์ชันทั้งสองนี้ ตัวแทนสัญญา และการอัปเกรดจึงเกือบจะเป็นการกำหนดค่ามาตรฐานของสัญญาในอุตสาหกรรม
ฝ่ายโครงการจะอัพเกรดสัญญาอย่างไร? โดยปกติแล้ว สัญญาที่ผู้ใช้เข้าถึงได้ไม่ใช่สัญญาหลักที่เรียกใช้ตรรกะทางธุรกิจโดยตรง แต่เป็น "สัญญาตัวแทน" หลังจากได้รับคำขอของผู้ใช้ สัญญาตัวแทนจะส่งต่อไปยังสัญญาธุรกิจหลัก จากนั้นสัญญาธุรกิจจะดำเนินการ มัน. การอัปเกรดสัญญาคือการแทนที่สัญญาทางธุรกิจที่ส่งต่อไปให้ในที่สุด กล่าวอย่างง่ายๆ แม้ว่าสัญญาอัจฉริยะจะไม่สามารถแก้ไขได้ แต่สัญญาที่ผู้ใช้เข้าถึงและรันตรรกะทางธุรกิจในที่สุดสามารถถูกแทนที่ได้ นี่เป็นวิธีปฏิบัติทั่วไปในอุตสาหกรรม
และแม้กระทั่งสำหรับสัญญาที่ปลอดภัยที่สุด ตราบใดที่ "การอัปเกรดสัญญา" ยังดำเนินอยู่ สัญญาทางธุรกิจก็เปลี่ยนไป และรายงานการตรวจสอบก่อนหน้านี้ก็กลายเป็นเศษกระดาษ
ชื่อเรื่องรอง
ใบอนุญาตไม่ จำกัด อันตรายแค่ไหน?
โชคดีที่การให้สิทธิ์ไม่ได้หมายความว่าผู้ใช้จะได้รับอันตรายจากกระเป๋าสตางค์หมดทุกเมื่อ กฎสำคัญอีกข้อของกลไกการให้สิทธิ์คือการให้สิทธิ์ประกอบด้วยปริมาณ ผู้ใช้ "อนุมัติ" ทำสัญญากับโทเค็นจำนวนหนึ่ง และสัญญาสามารถใช้จำนวนนี้ได้มากที่สุดเท่านั้น แม้ว่าจะมีโทเค็นมากกว่าในกระเป๋าเงินก็ตาม สัญญาจะไม่สามารถใช้ได้อีกต่อไป
แต่อันตรายก็คือสัญญา DeFi ส่วนใหญ่จะขอ "การอนุญาตแบบไม่จำกัด" จากผู้ใช้อย่างไร้ยางอาย กล่าวคือ ตามค่าเริ่มต้นแล้ว จำนวนโทเค็นที่ผู้ใช้อนุมัติจะไม่จำกัด
ชื่อเรื่องรอง
ผู้ใช้จะป้องกันได้อย่างไร
จะไม่มีความเสี่ยงด้านความปลอดภัย เมื่อดำเนินการกับห่วงโซ่ หากจำเป็นต้องมีการดำเนินการอนุมัติ ผู้ใช้ควรปฏิบัติตามหลักการของ "จำนวนที่ใช้และจำนวนที่ได้รับ" หากฉันต้องการขายเพียง 1,000 TOKEN ฉันควรแก้ไขจำนวนเงินที่อนุมัติด้วยตนเองเป็น 1,000 มันถูกสะสมเมื่อคำนวณยอดการโอนสัญญา นั่นคือหากมีการอนุมัติเพียง 1,000 รายการ และจำนวนธุรกรรมนี้คือ 1,000 รายการพอดี แสดงว่าจำนวนเงินอนุมัติสัญญาเพิ่งหมดลง แม้ว่าจะมีความเสี่ยงด้านความปลอดภัยในสัญญาในอนาคตก็ตาม จะไม่สามารถถ่ายโอนทรัพย์สินใดๆ จากกระเป๋าเงินของผู้ใช้ได้อีกต่อไป
(ผู้ใช้สามารถแก้ไขจำนวนเงินที่อนุญาตได้ด้วยตนเอง)
สำหรับผู้ใช้ที่ได้รับอนุญาต การดำเนินการยกเลิกการอนุญาตสามารถเริ่มต้นได้เช่นกัน (รายละเอียดที่น่าสนใจคือ Ethereum ไม่รองรับ "dauthorization" ซึ่งจะอนุญาตสัญญาด้วยจำนวน "0")
เว็บไซต์ยกเลิกการอนุญาตที่ใช้กันทั่วไปมีดังนี้ (แนะนำโดยบริษัทรักษาความปลอดภัย SlowMist):
1. Dappstar:https://tac.dappstar.io/#/
2. Revoke:https://revoke.cash/
3. Approved.zone:https://approved.zone/
4. Rabby Wallet
ชื่อเรื่องรอง
https://cn.etherscan.com/tokenapprovalchecker
https://bscscan.com/tokenapprovalchecker
ใครเป็นผู้รับผิดชอบในการขโมย DeFi?
"Dark Forest" เป็นคำอธิบายที่แพร่หลายอย่างกว้างขวางเกี่ยวกับคำสั่งบนเครือข่าย และยังเตือนผู้ใช้ถึงอันตรายและความเสี่ยงสูงของโลกนี้ แต่ถ้าเหตุการณ์ด้านความปลอดภัยดังกล่าวเกิดขึ้นซ้ำแล้วซ้ำอีก ทั้งหมดนี้เกิดจากความตระหนักรู้ด้านความปลอดภัยของผู้ใช้หรือไม่?
ในเหตุการณ์ดังกล่าว คำร้องขอการอนุญาตของผู้ใช้อย่างไม่ถูกจำกัดของโครงการ DeFi คือต้นตอของอันตรายที่ซ่อนอยู่ เกือบทุกโครงการ เมื่อร้องขอการอนุญาต ตัวเลือกเริ่มต้นคือการอนุญาตแบบไม่จำกัด แม้ว่าผู้ใช้สามารถแก้ไขได้ด้วยตนเอง แต่ตลาดที่รับผิดชอบควรรับผิดชอบในการคุ้มครองนักลงทุนและการศึกษาผู้ใช้
มีผู้ใช้ crypto กี่คนที่ยังไม่ทราบถึงอันตรายของการอนุญาต? ในบริบทนี้ ฝ่ายโครงการยังคงขอการอนุญาตแบบไม่จำกัดที่อันตรายอย่างยิ่ง
การอนุญาตในทางที่ผิดใน DeFi ถือเป็นเรื่องปกติในอุตสาหกรรมมาช้านาน และสถานการณ์ที่มีความเสี่ยงสูงนี้เป็นอันตรายต่อทรัพย์สินขนาดใหญ่ของผู้ใช้เกือบทั้งหมด ผลกระทบของมันนั้นกว้างไกล กว้างขวาง และอันตรายที่ซ่อนอยู่นั้นใหญ่มาก ฉันเกรงว่า ยังไม่เป็นความเสี่ยงด้านความปลอดภัยที่สามารถเปรียบเทียบได้ ความเสี่ยงนี้เป็นการละเมิดสัญชาตญาณพื้นฐานที่ว่า "ไม่มีใครสามารถเอาเหรียญในกระเป๋าเงินไปได้" นี่คือความเสี่ยงและความท้าทายที่อุตสาหกรรมต้องเผชิญตลอดเวลา
หลังจากการโจรกรรมเกิดขึ้น Shenyu ได้ยื่นอุทธรณ์ทาง Twitter ว่า "ฉันขอให้ฝ่ายโครงการสร้างมาตรฐานการใช้ฟังก์ชันการอนุญาต ใช้การอนุญาตได้มากเท่าที่คุณต้องการ และอย่าใช้การอนุญาตแบบไม่จำกัด ทุกคนวางใจได้"
การกระจายอำนาจเต็มไปด้วยโอกาสและความเสี่ยง จำวิสัยทัศน์ดั้งเดิมของ crypto ได้ไหม? "ปกป้องทรัพย์สินของคุณ ไม่มีใครเอา cryptocurrency ในกระเป๋าเงินของคุณไปได้" การจัดตั้งคำสั่งที่อ่อนโยนไม่ต้องการรหัสที่ซับซ้อนและแนวคิดที่คลุมเครือเพื่อให้แน่ใจว่าผู้ใช้ทั่วไปทุกคนสามารถใช้เทคโนโลยีการเข้ารหัสได้อย่างปลอดภัย ยังคงต้องใช้ความพยายามร่วมกันของ ผู้เข้าร่วมทุกคนในอุตสาหกรรม
