DeFi Protocol Hack ส่งผลให้เกิดการสูญเสีย $ 212K เนื่องจากช่องโหว่ของ Smart Contract

2024-08-14, 02:52

[TL; DR]

ในวันที่ 1 สิงหาคม เกิดเหตุการณ์การละเมิดความปลอดภัยของโปรโตคอลการเงินที่ไม่มีแหล่งกำเนิดจากการกำหนดภายใน Convergence เนื่องจากช่องโหว่ของสัญญาอัจฉริยะ

ฮักเกอร์หรือทีมของฮักเกอร์สามารถใช้ช่องโหว่เพื่อสร้างเหรียญและขายมูลค่า $210,000 ของเหรียญต้นบทนิเวต และยังขโจร $2,000 จากการได้รับรางวัลจากการค้าเงินทุนที่ยังไม่ได้เรียกร้อง

Wireshark, ผู้ก่อตั้งปาฏิหาริย์อย่างไม่ระบุตัวตนของ Convergence ได้ให้รายงานภายหลังที่ละเอียดออกมาโดยเปิดเผยว่า แฮกเกอร์เป้าหมายที่สัญญา CvxRewardDistributor ของโปรโตคอล

นี่ทำให้ฮากเกอร์สามารถพิมพ์เหรียญและขาย CVG 58 ล้านเหรียญ ทำรายได้ประมาณ 210,000 ดอลลาร์

อ่านเพิ่มเติม: ภาพรวมนิเวศ DeFi ปี 2024: แนวโน้มและทิศทางสำคัญ

นอกจากนี้ ฮักเกอร์ยังขโมยเงินประมาณ 2,000 ดอลลาร์จากเงินรางวัลที่ยังไม่ได้เรียกร้องจาก Convex, โปรโตคอล DeFi ที่มุ่งเน้นการปรับปรุงรางวัล สำหรับ Curve ผู้ให้สินเชื่อเพื่อความสะดวกในการจัดหาสินเชื่อ ข้อมูล Etherscan แสดงให้เห็นว่าการโจมตีเกิดขึ้นประมาณเวลา 3:00 น. UTC เมื่อวันที่ 1 สิงหาคม

PeckShield, บริษัทรักษาความปลอดภัยบล็อกเชน สังเกตว่าหลังจากการสร้างเหรียญ CVG ฮากเกอร์ได้ทำการแปลงเหรียญเหล่านั้นเป็น 60 wrapped Ether และ 15,900 Curve.fi อย่างรวดเร็ว FRAX. จากการกระทำเหล่านี้ โทเค็นการจัดการ CVG ประสบความล้มเหลวในราคาเกือบ 100% ตอนนี้ซื้อขายที่ $0.0004 ด้วยกำไรทางตลาดเพียง $57,000 เท่านั้น ตามข้อมูลจาก CoinMarketCap

รายละเอียดเหตุการณ์

Convergence ระบุว่าการละเมิดเกิดขึ้นเนื่องจากทีมได้ลบบรรทัดโค้ดที่สำคัญอย่างไม่ตั้งใจในสัญญาอัจฉริยะของตนที่รับผิดชอบในการกระจายรางวัลการจับ CVG การเปลี่ยนแปลงนี้ถูกทำหลังจากที่สัญญาอัจฉริยะได้รับการตรวจสอบสี่ครั้ง “การปรับเปลี่ยนที่ตั้งใจเป็นการแก๊สการจัดการ ทำให้เราลบบรรทัดโค้ดที่ตรวจสอบข้อมูลที่ให้กับฟังก์ชั่น” ทีมอธิบาย

เจ้าหน้าที่แฮ็กเกอร์ได้ใช้สัญญา CvxRewardDistributor ผ่านฟังก์ชัน claimMultipleStaking เพื่อหลีกเลี่ยงการตรวจสอบ ซึ่งทำให้เจ้าหน้าที่แฮ็กเกอร์สามารถใช้สัญญาที่เป็นอันตรายแยกต่างหากที่มีลายเซ็นเดียวกับฟังก์ชัน claimCvgCvxMultiple ดังนั้น เจ้าหน้าที่แฮ็กเกอร์ได้สร้างเหรียญที่จัดสรรไว้สำหรับการออกใบรับรองและขายในพูลความเหมาะสมของ CVG Convergence รายงาน

Convergence ยืนยันว่าเงินทุนของผู้ใช้ยังคงปลอดภัย แต่แนะนำให้ผู้ใช้ถอนสินทรัพย์ของพวกเขาออกจากแพลตฟอร์ม “เนื่องจากการโจมตี สัญญาตั้งเป็นรางวัลสำหรับการผสม DAO ยังไม่สามารถทำงานได้ จะถูกซ่อมแซมและผู้เสียภาษีจะสามารถเรียกเงินรางวัลของพวกเขาได้เมื่อมันถูกแก้ไข เนื่องจากการผสม DAO ผู้ใช้ไม่สูญเสียรางวัลใดๆ

Convergence มีจุดมุ่งหมายเพื่อรวมสภาพคล่องเพิ่มผลตอบแทนและเปิดใช้งานการล็อคของเหลวภายในระบบนิเวศ Curve Finance หลังจากการแฮ็กมูลค่ารวมที่ล็อคบน Convergence ลดลงจาก 5.79 ล้านดอลลาร์เป็น 3.69 ล้านดอลลาร์ตามข้อมูลของ DefiLlama ในเดือนกรกฎาคมระบบนิเวศของสกุลเงินดิจิทัลสูญเสียไปประมาณ 266 ล้านดอลลาร์จากการแฮ็กส่วนใหญ่มาจากการละเมิดแพลตฟอร์มการซื้อขายของอินเดียมูลค่า 230 ล้านดอลลาร์ WazirX เมื่อวันที่ 18 กรกฎาคม.

อธิบายโปรโตคอลการบรรจบกัน

โปรโตคอล Convergence เป็นแพลตฟอร์มการเงินที่ดีเซ็นทรัลไลกว้และออกแบบเพื่อเสริมความเหมาะสมในการขอสินเชื่อและโอกาสในการให้ผลตอบแทนภายในนิเควร์ไลกว้ จุดมุ่งหลักของมันคือการรวบรวมความสะดวกสบายจากแหล่งต่าง ๆ ปรับปรุงผลตอบแทนสำหรับผู้ใช้และส่งเสริมการมีสภาพเหลวโดยทำให้ผู้เข้าร่วมสามารถล็อคสินทรัพย์ของตนในขณะที่ยังคงรักษาความเหลว

โปรโตคอลนี้บรรจุการบริการและผลิตภัณฑ์ DeFi ต่างๆ เพื่อสร้างประสบการณ์ที่ไม่มีรอยต่อสำหรับผู้ใช้ที่ต้องการสูงสุดในการรับรางวัลจากทรัพย์สินที่ถูกทำเครื่องหมายไว้ โดยมีแพลตฟอร์มที่ผู้ใช้สามารถทำเครื่องหมายสัญลักษณ์ของตนและได้รับรางวัลเป็นระบบ ร่วมกับการเป็นส่วนหนึ่งในสระเหรียญสลับสลับและมีกลยุทธ์การเก็บผลิตภัณฑ์เพื่อผลิตผลตอบแทน ด้วยวิธีนี้ Convergence ช่วยให้ผู้ใช้สามารถใช้ประโยชน์สูงสุดจากสินทรัพย์ดิจิทัลของพวกเขาได้โดยไม่จำเป็นต้องมีการแทรกแซงและตรวจสอบอย่างต่อเนื่อง

ข่าวล่าสุด: มูลนิธิผู้ก่อตั้ง Curve มูลค่า 168 ล้านเหรียญดันตัว

หนึ่งในคุณสมบัติสำคัญของ Convergence คือ การเน้นในการปรับปรุงแก๊สและการออกแบบสัญญาอัจฉริยะอย่างมีประสิทธิภาพ ซึ่งทำให้ธุรกรรมบนแพลตฟอร์มเป็นราคาที่เหมาะสมและรวดเร็ว ลดค่าใช้จ่ายที่เกี่ยวข้องกับการดำเนินการบล็อกเชน นอกจากนี้ Convergence ยังใช้กรอบความปลอดภัยที่แข็งแกร่งเพื่อป้องกันเงินของผู้ใช้และรักษาความสมบูรณ์ของแพลตฟอร์ม

ด้วยแนวทางของ DeFi Convergence มีจุดมุ่งหมายเพื่อเปิดการเข้าถึงเครื่องมือและโอกาสทางการเงินขั้นสูงช่วยให้ผู้ใช้มีส่วนร่วมในเศรษฐกิจแบบกระจายอํานาจได้อย่างง่ายดายและมั่นใจ การรวมเข้ากับระบบนิเวศของ Curve Finance ช่วยเพิ่มความน่าสนใจยิ่งขึ้น

อ่านเพิ่มเติม: 8 โปรโตคอล DeFi ที่มีศักยภาพ - airdrops, yield, GF

ตอบสนองของตลาดหลังการโจมตี

การตอบสนองของตลาดต่อการโจมตีโปรโตคอล Convergence เมื่อวันที่ 1 สิงหาคม 2024 นั้นรุนแรงและทันที การโจมตีนำไปสู่การพิมพ์เหรียญและการขายโดยไม่ได้รับอนุญาตของ CVG จำนวน 58 ล้านโทเคน ทำให้เกิดความสูญเสียประมาณ 210,000 ดอลลาร์ การโจมตีนี้ทำให้ราคาของ CVG ตกอย่างกระชับถึง 99% ลดลงจากประมาณ 0.12 ดอลลาร์ เหลือเพียง 0.0004 ดอลลาร์ เหตุการณ์ลดลงนี้ทำให้มูลค่าตลาดที่เต็มรูปแบบของโทเคนลดลงอย่างกระชับ ซึ่งเดิมเคยประมาณ 17 ล้าน ดอลลาร์

หลังจากการแฮกครั้งนั้น คอนเวอร์เจนซ์ได้เผยแพร่การสื่อสารเร่งด่วนเพื่อแนะนำผู้ใช้งานให้หลีกเลี่ยงการทำงานกับโปรโตคอลเพื่อป้องกันความเสี่ยงเพิ่มเติม ก่อนที่เงินที่ถูกโจรกรรมจะถูกแปลงเป็น wrapped Ether (wETH) และ crvFRAX stablecoins อย่างรวดเร็ว และถูกนำผ่าน Tornado Cash เพื่อซ่อนทางของพวกเขา

การตอบสนองของตลาดเน้นให้เห็นถึงการสูญเสียความไว้วางใจอย่างมีนัยสำคัญในโปรโตคอล โดยนักลงทุนถอนเงินออกจากกองทุนของพวกเขาอย่างรวดเร็วและความรู้สึกโดยรวมกลับกลายเป็นลบอย่างมาก เหตุการณ์นี้ยืนยันถึงความสำคัญของความแข็งแกร่ง มาตรการรักษาความปลอดภัยในโปรโตคอล DeFi และผลกระทบที่เป็นไปได้จากการละเมิดความปลอดภัยต่อมูลค่าโทเค็นและความเชื่อมั่นของนักลงทุน

การแฮ็ก DeFi ปี 2024

ในปี 2024 ภาคการเงินที่ไม่ centralize (DeFi) ได้ทำการเผชิญกับความท้าทายทางด้านความปลอดภัยอย่างมาก โดยมีการ hack ที่มีชื่อเสียงหลายรายเกิดขึ้น ซึ่งได้เกิดความสูญเสียทางการเงินอย่างมาก หนึ่งในเหตุการณ์ที่โดดเด่นที่สุดเกิดขึ้นกับ Prisma Finance ที่เป็นแพลตฟอร์ม liquid restaking ที่ได้เสียเงินทั้งหมด 10 ล้านเหรียญเนื่องจาก flash loan exploit เมื่อมีนาคม 2024 ผู้โจมตีได้ระบายเหรียญ ETH ประมาณ 3,257.7 เหรียญจากโปรโตคอล ซึ่งทำให้ Prisma Finance ต้องหยุดการดำเนินการเพื่อทำการสอบสวนอย่างละเอียด

อ่านเพิ่มเติม: โปรโตคอล DeFi ที่ปรับแต่งให้เหมาะสมกับความไม่แน่นอนของตลาด

การละเมิดร้ายแรงอีกอันหนึ่งเกี่ยวข้องกับ BitForex แลกเปลี่ยนเงินดิจิทัลที่หายไปหลังถอนเงินจำนวนเกือบ 57 ล้านดอลลาร์จากกระเป๋าเงินร้อนของมันในเดือนกุมภาพันธ์ พ.ศ. 2567 เหตุการณ์นี้ทำให้ผู้ใช้ไม่สามารถเข้าถึงบัญชีของพวกเขาได้และเน้นถึงความท้าทายทางกฎหมายที่ยังคงอยู่ในฮ่องกง ที่ BitForex ได้ลงทะเบียน

นอกจากนี้ยังมีเหตุการณ์ที่เกิดขึ้นกับ PlayDapp แพลตฟอร์มเกมและ NFT ดังกล่าวในเดือนกุมภาพันธ์ ที่เกิดปัญหาในการใช้งานโดยไม่ได้รับอนุญาติในการสร้าง PLA tokens จำนวน 1.79 พันล้าน token มูลค่าเกิน 290 ล้านเหรียญสหรัฐฯ นักแฮ็กเกอร์เริ่มการล้างเงินที่ได้มาจากการเจาะปลอมจากนั้น แสดงให้เห็นถึงความซับซ้อนในการติดตามและกู้คืนทรัพย์สินที่ถูกโจรกรรมในพื้นที่ DeFi

ในเดือนพฤษภาคม พ.ศ. 2567 ยังเกิดการแฮ็กจำนวนมากที่สำคัญ รวมเสียเงินกว่า 600 ล้านเหรียญสหรัฐในการเสียหาย ในนั้นมีการฝ่ายเกิดการคัดคอนไซม์คีย์ส่วนตัวที่ทำให้เสียเงินถึง 70 ล้านเหรียญสหรัฐสำหรับคริปโตวีล แม้ว่าเงินที่ถูกขโมยไปจากผู้โจมตีจะถูกคืนให้กับผู้โจมตีในภายหลัง Fantom โครงการที่มีฐานที่เกิดเหตุการถูกแฮ็กด้วยจำนวนเงิน 1.27 ล้าน ดอลลาร์ เนื่องจากช่องโหว่ที่ทำให้สามารถทำการเครื่องเหรียญ GNUS เทียบ

ผู้เขียน:Andrei, นักวิจัย Gate.io

บทความนี้เป็นเพียงความคิดเห็นของนักวิจัยเท่านั้นและไม่เป็นการแนะนำให้ลงทุนใดๆ

Gate.io สงวนสิทธิ์ทั้งหมดในบทความนี้ การโพสต์บทความนี้จะได้รับอนุญาตให้กระทำโดยมีการอ้างอิงถึง Gate.io ในทุกกรณีจะดำเนินการทางกฎหมายเนื่องจากการละเมิดลิขสิทธิ์

แชร์