แฮ็กเกอร์เจาะช่องโหว่ใน Transit Swap ฉวยเงินไปได้ $21M

Transit Swap ซึ่งเป็น DEX Aggregrator สูญเสียเงิน 21 ล้านดอลลาร์สหรัฐหลังจากโดนแฮ็กเกอร์ใช้ประโยชน์จากความข้อบกพร่องภายในเชิงระบบในสัญญาสวอป

DEX แบบมัลติเชนแห่งนี้เผยแพร่ประเด็นดังกล่าวบน Twitter ในขณะเดียวกัน ได้ออกมาขอโทษสําหรับข้อบกพร่องในระบบของตน “หลังจากที่ทีมงานภายในลองทดสอบระบบ ทาง TransitFinance ได้รับการยืนยันว่าเหตุการณ์ดังกล่าวเกิดจากการโจมตีของแฮ็กเกอร์เนื่องจากข้อบกพร่องในโค้ดที่เราใช้ เราเสียใจอย่างสุดซึ้ง” DEX Aggregrator รายนี้กล่าว

ในช่วงเวลาที่ออกประกาศ แพลตฟอร์มเสริมว่าอยู่ระหว่างการดำเนินการกู้คืนเงินที่ถูกขโมย ทั้งยังกําลังทํางานร่วมกับ SlowMist, PeckShield, Bitrace, TransitFinance และหน่วยรักษาความปลอดภัย TokenPocket และทีมเทคนิคเพื่อกู้คืนเงินที่ถูกโจรกรรมไป

การแถลงการณ์ข้างต้นยังเสริมว่าพวกเขาสามารถระบุ IP ของแฮ็กเกอร์ รวมถึงอีเมลแอดเดรส และที่อยู่บนเครือข่ายที่เกี่ยวข้องได้ Transit Swap ยังคะยั้นคะยอให้แฮ็กเกอร์ติดต่อกลับมาเพื่อคืนเงินที่โจรกรรมไป

แฮ็กเกอร์คืนเงินที่โจรกรรมไป 70%

ความพยายามของ Transit Swap ดูเหมือนจะประสบความสําเร็จเนื่องจาก Transit Finance ยืนยันว่าแฮ็กเกอร์ได้คืนเงิน 70% เข้าแอดเดรสสองแห่ง แต่ทางแพลตฟอร์มยังพยายามขอคืนเงินส่วนที่เหลือด้วยเช่นกัน

📢📢📢Updates about TransitFinance
1/5 We are here to update the latest news about TransitFinance Hacking Event. With the joint efforts of all parties, the hacker has returned about 70% of the stolen assets to the following two addresses:

— Transit Swap | Transit Buy | NFT (@TransitFinance) October 2, 2022

จากข้อมูลของ SlowMist Arbitrage Bot ตัวหนึ่งทำการฟรอนต์รันแฮ็กเกอร์เมื่อพวกเขาโอนสินทรัพย์ BUSD จากผู้ใช้งานในเครือข่าย BSC และสร้างผลกําไรได้ 1.07 ล้าน BUSD

ผู้ใช้งานได้ขอให้ Transit Swap ครอบคลุมเงินที่เหลือซึ่งถูกขโมยไปหากแฮ็กเกอร์ไม่สามารถคืนเงินที่เหลือได้อีก 30% โดยผู้ใช้งานแจ้งว่าการหาทางกู้คืนเงินที่เหลือและชดใช้ให้กับผู้ใช้งานของแพลตฟอร์มเป็นสิ่งที่เหมาะสมที่สุดเนื่องจากการโจรกรรมจะไม่เกิดขึ้นหากระบบไม่มีข้อผิดพลาด

แฮกเกอร์พัฒนาฝีมือเต็มกำลัง

ในขณะเดียวกัน นี่ถือเป็นการโจมตีแพลตฟอร์มครั้งที่สามในช่วงไม่กี่สัปดาห์ที่ผ่านมาซึ่งเกิดจากการที่แฮกเกอร์ใช้ประโยชน์จากรหัสหรือข้อบกพร่องที่ผิดพลาดเพื่อใช้ประโยชน์จากโปรโตคอล Defi และบล็อกเชนแอดเดรส

ไม่กี่วันที่ผ่านมา บอท MEV ตัวหนึ่งที่ทําการค้าเก็งกําไรมากกว่าหนึ่งล้านครั้งได้สูญเงิน 1.45 ล้านดอลลาร์สหรัฐภายในหนึ่งชั่วโมงหลังจากแฮ็กเกอร์โจมตีโค้ดที่ไม่ได้เขียนเอาไว้อย่างรัดกุมเพื่ออนุมัติการโอนเงินให้กับตนเอง

ก่อนหน้านั้น ทีมงานของ 1inch Network เปิดเผยว่าที่อยู่ทั้งหมดที่สร้างขึ้นโดย Vanity Address Pool อย่าง Profanity มีแนวโน้มที่จะถูกแฮ็ก โดยแอดเดรสเหล่านี้บางส่วนถูกใช้โจมตีไปเป็นที่เรียบร้อยแล้ว

เมื่อแฮกเกอร์มีทักษะมากขึ้นในการละเมิดโปรโตคอลบล็อกเชน ทำให้การตรวจสอบความปลอดภัยของโค้ดก่อนนำไปใช้งานจริงได้รับความสำคัญยิ่งขึ้น

สําหรับการวิเคราะห์ Bitcoin (BTC)  ล่าสุดของ Be[In]Crypto คลิกที่นี่