Nhà cung cấp dịch vụ trao đổi flash TokenPocket đã bị đánh cắp, hãy nhanh chóng kiểm tra xem bạn đã mở bao nhiêu "ủy quyền không giới hạn"
Hôm nay, công cụ tổng hợp DEX chuỗi chéo Transit Swap đã bị tấn công, khiến một số lượng lớn tiền của người dùng bị rút khỏi ví của họ. Tính đến nay, thiệt hại ước tính vượt quá 23 triệu đô la Mỹ.
Sau khi phát hiện hành vi trộm cắp, nhóm kỹ thuật Transit Swap đã khẩn trương tạm dừng dịch vụ, hợp đồng đã bị đình chỉ hoàn toàn và không thể thực hiện bất kỳ thao tác nào. Trước thông cáo báo chí, Transit Swap đã chính thức thông báo rằng nguyên nhân của vụ hack trước đó là do lỗi mã và IP, địa chỉ email và địa chỉ on-chain liên quan của tin tặc đã được xác định. Nhóm Transit Swap tuyên bố rằng họ sẽ cố gắng hết sức để theo dõi các tin tặc và cố gắng liên lạc với chúng để giúp người dùng khắc phục thiệt hại.
Theo phân tích của SlowMist, lý do chính của cuộc tấn công này là do giao thức Transit Swap đã không kiểm tra chặt chẽ dữ liệu do người dùng chuyển vào trong quá trình trao đổi mã thông báo, dẫn đến vấn đề các lệnh gọi bên ngoài tùy ý. Cụ thể, bản thân hợp đồng định tuyến không áp đặt bất kỳ hạn chế nào đối với tham số transferFrom, cũng như không kiểm tra địa chỉ hợp đồng trao đổi được phân tích cú pháp và dữ liệu cuộc gọi. Kẻ tấn công lợi dụng lỗi mà hợp đồng proxy định tuyến, hợp đồng cầu nối định tuyến và hợp đồng quản lý quyền hạn không kiểm tra dữ liệu đến và gọi hàm callBytes của hợp đồng cầu nối định tuyến thông qua hợp đồng đại lý định tuyến để truyền dữ liệu đã xây dựng, do đó đánh cắp tất cả các quyền.Mã thông báo cho người dùng quản lý hợp đồng để ủy quyền.
Hiện tại, hacker đã chuyển 2.500 BNB sang Tornado Cash và số tiền còn lại nằm rải rác trong địa chỉ của hacker. Sau khi phân tích dấu vết của tin tặc, người ta thấy rằng tin tặc đã có dấu vết của các khoản tiền gửi và rút tiền từ các nền tảng như LATOKEN.
Ngoài ra, nhóm bảo mật PeckShield đã xác nhận dòng tiền của hacker.
tiêu đề phụ
Trao đổi chớp nhoáng là gì?
Hiện tại, hầu hết tất cả các ví đều có chức năng DeFi nhúng và một số ví đã tạo và áp dụng khái niệm "trao đổi flash" để dễ sử dụng.
Cái gọi là trao đổi flash được tích hợp sâu với ví, có lối vào độc lập rõ ràng hơn, quy trình thao tác đơn giản hơn và thao tác thuận tiện hơn trong sản phẩm. Người dùng sử dụng Quick Exchange có thể hoàn thành các giao dịch tài sản mã hóa một cách thuận tiện và nhanh chóng. Ví dụ: thao tác "Phê duyệt" thường được tích hợp vào quy trình giao dịch với thao tác một cú nhấp chuột đơn giản và người dùng gần như không nhạy cảm.
tiêu đề phụ
Bao nhiêu rủi ro tiềm ẩn trong hợp đồng ủy quyền?
"Không ai có thể cưỡng bức lấy đi tài sản mã hóa của bạn" là sự đồng thuận rộng rãi giữa các nhà đầu tư về đặc điểm của blockchain. Khi tài sản trên chuỗi được sở hữu bởi ví, không có phương tiện cưỡng chế nào để chuyển chúng. Nhưng khi chúng tôi sử dụng DEX cho các giao dịch trên chuỗi, làm thế nào để DEX lấy một tài sản và chuyển nó sang một tài sản khác?
Cấp phép là chìa khóa cho tất cả điều này. Trước khi người dùng bán tài sản trên DEX, họ cần thực hiện thao tác "Phê duyệt", sau thao tác này, hợp đồng có quyền sử dụng một mã thông báo nhất định của người dùng.
tiêu đề phụ
Kiểm toán = Bảo mật?
Ngay cả khi hợp đồng có khả năng chuyển tài sản mã hóa sau khi được ủy quyền, thì vẫn an toàn khi chỉ sử dụng khả năng này trong một phạm vi hợp lý. Và nếu nó đã được kiểm toán bởi một cơ quan an ninh đáng tin cậy, điều đó có nghĩa là khả năng này sẽ không bị lạm dụng và chỉ những tài sản cần thiết cho số tiền giao dịch sẽ được chuyển khi người dùng thực hiện giao dịch?
Từ quan điểm tĩnh, logic này là hợp lệ. Cũng giống như Uniswap, mặc dù nó có khả năng rút sạch ví của người dùng bất cứ lúc nào, nhưng nó sẽ không thực sự làm như vậy. Nhưng từ góc độ năng động, logic này vẫn nguy hiểm.
Trong phát triển phần mềm hiện đại, nâng cấp là một khả năng không thể thiếu. Điều tương tự cũng xảy ra với các hợp đồng thông minh. Trong hợp đồng thông minh Solidity, có hai phương pháp nâng cấp là Minh bạch và UUPS, với hai chức năng này, đại lý hợp đồng và nâng cấp gần như là cấu hình tiêu chuẩn của các hợp đồng trong ngành.
Làm thế nào để bên dự án nâng cấp hợp đồng? Thông thường, hợp đồng mà người dùng truy cập không phải là hợp đồng lõi trực tiếp chạy logic nghiệp vụ, mà là "hợp đồng ủy quyền". Sau khi nhận được yêu cầu của người dùng, hợp đồng proxy sẽ chuyển tiếp yêu cầu đó đến hợp đồng nghiệp vụ lõi, sau đó hợp đồng nghiệp vụ xử lý Nó. Việc nâng cấp hợp đồng là để thay thế hợp đồng kinh doanh cuối cùng được chuyển tiếp đến. Nói một cách đơn giản, mặc dù không thể sửa đổi hợp đồng thông minh, nhưng hợp đồng mà người dùng cuối cùng truy cập và chạy logic kinh doanh có thể được thay thế. Đây cũng là một thực tế phổ biến trong ngành.
Và ngay cả đối với những hợp đồng an toàn nhất, miễn là tiến hành "nâng cấp hợp đồng", hợp đồng kinh doanh của nó đã thay đổi và báo cáo kiểm toán trước đó đã trở thành một tờ giấy vụn.
tiêu đề phụ
Giấy phép không giới hạn nguy hiểm như thế nào?
May mắn thay, ủy quyền không có nghĩa là người dùng có nguy cơ bị trống ví bất cứ lúc nào. Một quy tắc quan trọng khác của cơ chế ủy quyền là ủy quyền có số lượng. Người dùng "Phê duyệt" ký hợp đồng với một số lượng mã thông báo nhất định và hợp đồng chỉ có thể sử dụng tối đa số tiền này, ngay cả khi có nhiều mã thông báo hơn trong ví, hợp đồng sẽ không thể sử dụng được nữa.
Nhưng điều nguy hiểm là hầu hết các hợp đồng DeFi đều yêu cầu "ủy quyền không giới hạn" từ người dùng một cách vô nguyên tắc, nghĩa là theo mặc định, số lượng mã thông báo được người dùng phê duyệt là không giới hạn.
tiêu đề phụ
Làm thế nào người dùng có thể bảo vệ chống lại nó?
Không có sự cho phép, không có rủi ro bảo mật. Khi thực hiện thao tác trên chain, nếu thao tác Phê duyệt bắt buộc, người dùng nên tuân thủ nguyên tắc “dùng bao nhiêu cấp bấy nhiêu”. Nếu tôi chỉ cần bán 1000 TOKEN, thì tôi nên sửa đổi số lượng Phê duyệt thành 1000 theo cách thủ công. Nó được tích lũy khi tính toán số tiền chuyển nhượng hợp đồng, nghĩa là, nếu chỉ có 1000 được ủy quyền và số tiền của giao dịch này chính xác là 1000, thì số tiền ủy quyền hợp đồng vừa được sử dụng hết. Ngay cả khi có rủi ro bảo mật trong hợp đồng trong tương lai, không còn có thể chuyển bất kỳ tài sản nào từ ví của người dùng.
(Người dùng có thể sửa đổi số tiền được ủy quyền theo cách thủ công)
Đối với người dùng được ủy quyền, hoạt động hủy cấp phép cũng có thể được bắt đầu. (Một chi tiết thú vị là Ethereum không hỗ trợ "hủy cấp phép", về cơ bản là cấp phép hợp đồng với số tiền "0".)
Các trang web hủy cấp phép thường được sử dụng như sau (được khuyến nghị bởi công ty bảo mật SlowMist):
1. Dappstar:https://tac.dappstar.io/#/
2. Revoke:https://revoke.cash/
3. Approved.zone:https://approved.zone/
4. Rabby Wallet
tiêu đề phụ
https://cn.etherscan.com/tokenapprovalchecker
https://bscscan.com/tokenapprovalchecker
Ai chịu trách nhiệm về hành vi trộm cắp DeFi?
"Khu rừng đen tối" là một mô tả được lưu hành rộng rãi về thứ tự trên chuỗi, đồng thời nó cũng nhắc nhở người dùng về sự nguy hiểm và rủi ro cao của thế giới này. Nhưng nếu những sự cố bảo mật như vậy xảy ra lặp đi lặp lại, liệu tất cả có thực sự được quy cho nhận thức bảo mật của người dùng không?
Trong những sự cố như vậy, yêu cầu ủy quyền người dùng không giới hạn của dự án DeFi là nguồn gốc ban đầu của những mối nguy hiểm tiềm ẩn. Mặc dù người dùng có thể sửa đổi nó theo cách thủ công, nhưng một thị trường có trách nhiệm phải chịu trách nhiệm bảo vệ nhà đầu tư và giáo dục người dùng.
Có bao nhiêu người dùng tiền điện tử vẫn chưa nhận thức được sự nguy hiểm của việc ủy quyền? Trong bối cảnh này, bên dự án vẫn đang yêu cầu ủy quyền không giới hạn cực kỳ nguy hiểm.
Lạm dụng quyền hạn trong DeFi từ lâu đã trở thành một thực tế phổ biến trong ngành và tình huống rủi ro cao này gây nguy hiểm cho hầu hết tài sản khổng lồ của người dùng. vẫn chưa phải là một rủi ro bảo mật có thể so sánh được. Rủi ro này về cơ bản vi phạm trực giác đơn giản rằng "không ai có thể lấy tiền trong ví". Đây cũng là rủi ro và thách thức mà ngành luôn phải đối mặt.
Sau khi vụ trộm xảy ra, Shenyu đã đưa ra lời kêu gọi trên Twitter: "Tôi kêu gọi bên dự án tiêu chuẩn hóa việc sử dụng các chức năng ủy quyền, sử dụng bao nhiêu tùy ý ủy quyền và không sử dụng ủy quyền không giới hạn. Mọi người cứ yên tâm."
Phi tập trung đầy cơ hội và rủi ro. Bạn có nhớ tầm nhìn ban đầu về tiền điện tử không? "Hãy bảo vệ tài sản của bạn, không ai có thể lấy đi tiền điện tử trong ví của bạn." Việc thiết lập một trật tự lành tính không yêu cầu các mã phức tạp và các khái niệm khó hiểu để đảm bảo rằng mọi người dùng bình thường đều có thể sử dụng công nghệ mã hóa một cách an toàn. Nó vẫn cần nỗ lực chung của mọi người tham gia trong ngành.
