ต้นฉบับ | Odaily Planet Daily ( @OdailyChina )

ผู้แต่ง | แอชเชอร์ ( @Asher_0210 )

เมื่อคืนนี้ Ben Zhou ผู้ก่อตั้งร่วมและซีอีโอของ Bybit ได้เผยแพร่รายงานการตรวจสอบนิติเวชของแฮกเกอร์ที่จัดทำโดย Sygnia และ Verichains บนแพลตฟอร์ม X ซึ่งเปิดเผยว่าการขโมยเงินนั้นเกิดจากช่องโหว่ในโครงสร้างพื้นฐานของ Safe นอกจากนี้ โค้ดที่เป็นอันตรายยังถูกนำไปใช้งานเมื่อเวลา 15:29:25 UTC ของวันที่ 19 กุมภาพันธ์ โดยมุ่งเป้าไปที่กระเป๋าเงินเย็น Ethereum หลายลายเซ็นของ Bybit โดยเฉพาะ ข่าวนี้ส่งผลให้ราคาหุ้น SAFE ร่วงลงมากกว่า 10% ในช่วงเวลาสั้นๆ โดยราคาเริ่มร่วงจาก 0.5 ดอลลาร์สหรัฐ และร่วงลงมาต่ำกว่า 0.44 ดอลลาร์สหรัฐในช่วงสั้นๆ

ต่อไปนี้ Odaily Planet Daily จะคัดแยกการตอบสนองของทีมงาน Safe และความคิดเห็นของชุมชน หลังจากที่ Bybit ชี้ให้เห็นว่า Safe มีช่องโหว่

การแนะนำโครงการที่ปลอดภัย

โครงการก่อนหน้าของ Safe มีชื่อว่า Gnosis Safe เดิมทีโครงการนี้เป็นเพียงเครื่องมือลายเซ็นหลายรายการสำหรับผู้ใช้ทีม Gnosis เพื่อจัดการเงินทุน ICO แต่ในภายหลังทีมได้ตัดสินใจที่จะส่งเสริมเครื่องมือภายในนี้ให้เป็นบริการสาธารณะ

ด้วยการพัฒนาโครงการและการทำซ้ำของเรื่องราวในอุตสาหกรรม (โดยเฉพาะการเพิ่มขึ้นของแนวคิดการแยกส่วนบัญชี) Safe จึงไม่ใช่แค่เครื่องมือลายเซ็นหลายรายการอีกต่อไป แต่ได้เปลี่ยนเป็นโครงสร้างพื้นฐานของบัญชีสัญญาอัจฉริยะแบบแยกส่วนแล้ว โดยหวังว่าจะค่อย ๆ แทนที่บัญชี EoA กระแสหลักในปัจจุบันด้วยบัญชีสัญญาอัจฉริยะเริ่มต้น ซึ่งจะสร้างรากฐานสำหรับการเผยแพร่สกุลเงินดิจิทัลให้แพร่หลายมากขึ้นต่อไป

เซฟมีประวัติการระดมทุนจากภาครัฐเพียงครั้งเดียว ในเดือนกรกฎาคม พ.ศ. 2565 Safe ได้ประกาศเสร็จสิ้นการระดมทุนเชิงกลยุทธ์มูลค่า 100 ล้านดอลลาร์สหรัฐ นำโดย 1kx พร้อมด้วยการมีส่วนร่วมจาก Tiger Global, A&T Capital, Blockchain Capital, Digital Currency Group, IOSG Ventures, Greenfield One, Rockaway Blockchain Fund, ParaFi, Lightspeed, Polymorphic Capital, Superscrypt และพันธมิตรเชิงกลยุทธ์และผู้เชี่ยวชาญในอุตสาหกรรมอื่นๆ อีก 50 ราย (ซึ่งเป็นกลุ่มที่น่าภาคภูมิใจของปีนั้น)

การตอบสนองอย่างเป็นทางการของ Safe ต่อรายงานการตรวจสอบนิติเวชของแฮ็กเกอร์ Bybit: ไม่มีช่องโหว่ในสัญญาและโค้ดส่วนหน้า

เพื่อตอบสนองต่อรายงานการตรวจสอบหลักฐานทางนิติวิทยาศาสตร์ของแฮกเกอร์ Bybit ทีมงาน Safe{Wallet} ได้ทำการสืบสวนอย่างละเอียดทันทีและวิเคราะห์การโจมตีแบบกำหนดเป้าหมายที่เปิดตัวโดยกลุ่ม Lazarus บน Bybit (กลุ่ม Lazarus หรือที่รู้จักกันในชื่อ "Guardians" หรือ "Peace หรือ Whois Team" เป็นกลุ่มแฮกเกอร์ที่ประกอบด้วยผู้คนจำนวนหนึ่งที่ไม่ทราบแน่ชัด ซึ่งถูกควบคุมโดยรัฐบาลเกาหลีเหนือ แม้ว่าผู้คนจะรู้เพียงเล็กน้อยเกี่ยวกับกลุ่มนี้ แต่ผู้วิจัยได้ระบุว่าพวกเขาถูกโจมตีทางไซเบอร์หลายครั้งตั้งแต่ปี 2010)

เครื่องของนักพัฒนาถูกแฮ็ก ส่งผลให้เงินของ Bybit ถูกขโมย แต่ไม่มีช่องโหว่ในสัญญาและโค้ดส่วนหน้า การสืบสวนของทีมงานได้ยืนยันว่าการโจมตีไม่ได้เกิดขึ้นผ่านสัญญาอัจฉริยะ Safe หรือช่องโหว่โค้ดส่วนหน้า แต่เกิดขึ้นโดยการแพร่ระบาดไปยังเครื่องของนักพัฒนา Safe{Wallet} จึงทำให้เกิดธุรกรรมอันตรายที่อำพรางไว้ การวิเคราะห์นิติเวชโดยผู้เชี่ยวชาญด้านความปลอดภัยภายนอกไม่พบปัญหาความปลอดภัยในระดับระบบหรือสัญญา ซึ่งบ่งชี้ว่า สาเหตุของการโจมตีคือช่องโหว่ด้านความปลอดภัยบนเครื่องของนักพัฒนา

หลังจากเหตุการณ์เกิดขึ้น Safe{Wallet} ได้ดำเนินการตอบสนองอย่างครอบคลุมโดยสร้างโครงสร้างพื้นฐานใหม่ทั้งหมด อัปเดตข้อมูลประจำตัว และกำจัดเวกเตอร์การโจมตีออกไปจนหมด ขณะนี้ Safe{Wallet} ได้กลับมาดำเนินการตามปกติบนเครือข่ายหลัก Ethereum โดยใช้แนวทางการเปิดตัวแบบเป็นระยะเพื่อรับรองความปลอดภัยของระบบ ในเวลาเดียวกัน ทีมงาน Safe{Wallet} จะยังคงส่งเสริมการตรวจสอบธุรกรรมและมุ่งมั่นที่จะปรับปรุงความปลอดภัยและความโปร่งใสของอุตสาหกรรมของ Web3 แม้ว่าส่วนหน้าของ Safe{Wallet} จะทำงานตามปกติและได้ใช้มาตรการรักษาความปลอดภัยเพิ่มเติม แต่ทีมงานยังคงเตือนผู้ใช้ให้ระมัดระวังและตื่นตัวเป็นพิเศษเมื่อลงนามในธุรกรรม

อย่างไรก็ตาม รายงานเหตุการณ์ที่เผยแพร่โดย Safe ไม่ได้รับการยอมรับอย่างกว้างขวาง เชื่อกันว่าถ้อยคำที่คลุมเครือในรายงานทำให้ประเด็นสำคัญต่างๆ คลุมเครือ CZ ผู้ก่อตั้งร่วมของ Binance กล่าวบนแพลตฟอร์ม X ว่า "แม้ว่าโดยทั่วไปแล้วจะไม่วิพากษ์วิจารณ์ผู้เข้าร่วมในอุตสาหกรรมอื่น แต่ประเด็นต่างๆ มากมายในรายงานไม่ได้รับการอธิบายอย่างชัดเจน ทำให้เกิดคำถามมากกว่าคำตอบหลังจากอ่านรายงาน"

เหตุใดส่วนหน้า Safe จึงถูกแทรกแซงยังคงต้องเปิดเผยรายละเอียด

“แบรนด์ Safe สมควรได้รับเฉพาะส่วนของสัญญาอัจฉริยะเท่านั้น ” SlowMist Yuxian โพสต์บนแพลตฟอร์ม X ว่า “ในที่สุด Safe ก็ถูกแฮ็กได้ เป็นเรื่องจริงที่ส่วนของสัญญาอัจฉริยะนั้นไม่มีปัญหาอะไร (สามารถตรวจสอบได้ง่ายบนเครือข่าย) แต่ส่วนหน้าถูกแทรกแซงและปลอมแปลงเพื่อให้ได้ผลหลอกลวง ส่วนสาเหตุที่ถูกแทรกแซงนั้น รอรายละเอียดอย่างเป็นทางการของ Safe ที่จะเปิดเผย”

“ฉันกลัวว่าจะแจ้งเตือนศัตรู ดังนั้นฉันจึงได้แต่เฝ้าจับตาดูไบบิต กระต่ายอ้วนตัวใหญ่เอาไว้”

Safe คือโครงสร้างพื้นฐานด้านความปลอดภัยชนิดหนึ่ง หลายๆ คนเคยใช้เวอร์ชันที่มีปัญหามาก่อน ในทางทฤษฎีแล้ว ทุกคนที่ใช้กระเป๋าสตางค์หลายลายเซ็นนี้อาจถูกขโมยได้เช่นเดียวกับ Bybit แต่เนื่องจากไม่ใช่ Bybit จึงไม่ถูกเรียกใช้งาน ดังนั้นบริการแบบโต้ตอบกับผู้ใช้อื่นๆ ทั้งหมดที่มี front-ends, API และอื่นๆ อาจมีความเสี่ยง นี่ถือเป็นการโจมตีห่วงโซ่อุปทานแบบคลาสสิกเช่นกัน บางทีโมเดลการจัดการความปลอดภัยสำหรับสินทรัพย์ขนาดใหญ่หรือขนาดใหญ่จำเป็นต้องได้รับการอัปเกรดครั้งใหญ่

นอกจากนี้ สมาชิกชุมชนยังชี้ให้เห็นว่าเหลือเวลาอีกเพียง 2 เดือนเท่านั้นก่อนที่เงินทุนจะได้รับการปลดล็อค และผลกระทบเชิงลบในปัจจุบันทำให้แรงกดดันด้านเวลาที่ Safe เผชิญนั้นรุนแรงมากขึ้น และยังคงไม่แน่นอนว่า Safe จะสามารถเอาชนะความยากลำบากนี้ในอนาคตได้หรือไม่

สรุป

เหตุการณ์ที่เกิดขึ้นนี้ ช่องโหว่ของ Safe ได้เปิดเผยปัญหาสำคัญหลายประการในด้านความปลอดภัยของ Web3 ส่งผลให้อุตสาหกรรมทั้งหมดต้องได้รับผลกระทบ

ประการแรก การจัดการความซับซ้อนของสัญญาอัจฉริยะเป็นสิ่งสำคัญ โดยเฉพาะในแอปพลิเคชันที่มีฟังก์ชันที่ซับซ้อน เช่น กระเป๋าเงินหลายลายเซ็น แม้ว่ากระเป๋าเงินหลายลายเซ็นได้รับการออกแบบมาเพื่อปรับปรุงความปลอดภัย แต่ฟังก์ชันที่ซับซ้อน เช่น การมอบหมายสายสามารถทำให้เกิดช่องโหว่ด้านความปลอดภัยได้อย่างง่ายดายหากไม่ได้รับการจัดการอย่างถูกต้อง ดังนั้นสัญญาอัจฉริยะจะต้องได้รับการตรวจสอบอย่างเข้มงวดและทดสอบอย่างเหมาะสมเพื่อให้มั่นใจว่าไม่มีช่องโหว่ใดๆ ที่พลาดไป

ประการที่สอง ความสำคัญของการตรวจสอบส่วนหน้าไม่สามารถละเลยได้ แฮกเกอร์เปิดฉากโจมตีด้วยการดัดแปลงอินเทอร์เฟซส่วนหน้า ส่งผลให้สูญเสียทรัพย์สินของผู้ใช้และเปิดเผยจุดอ่อนของการต่อต้านการดัดแปลงส่วนหน้า เพื่อป้องกันการโจมตีประเภทดังกล่าว จำเป็นต้องเสริมสร้างกลไกการตรวจสอบอินเทอร์เฟซผู้ใช้เพื่อให้แน่ใจว่าลิงก์แต่ละลิงก์สามารถระบุการปลอมตัวที่เป็นอันตรายได้อย่างมีประสิทธิภาพ และป้องกันไม่ให้ผู้ใช้ถูกหลอกลวงเมื่อลงนามในธุรกรรม

ท้ายที่สุด การควบคุมการอนุญาตที่ครอบคลุมและการสแกนความเสี่ยงแบบเรียลไทม์เป็นกุญแจสำคัญในการป้องกันไม่ให้เหตุการณ์ที่คล้ายกันเกิดขึ้นอีก การขาดการจัดการการอนุญาตโดยละเอียดและระบบการตรวจสอบแบบเรียลไทม์ทำให้ผู้โจมตีสามารถฝ่าการป้องกันและดำเนินการที่เป็นอันตรายได้ง่าย ดังนั้น เมื่อทำการออกแบบและใช้งานสัญญาอัจฉริยะ จำเป็นต้องนำกลไกการยืนยันต่างๆ มาใช้ เพิ่มการป้องกันเพิ่มเติมสำหรับการดำเนินการที่มีความเสี่ยงสูง และเสริมสร้างการตรวจสอบความเสี่ยงแบบเรียลไทม์ เพื่อให้สามารถระบุและจัดการกับภัยคุกคามที่อาจเกิดขึ้นได้อย่างทันท่วงที