เกิดเหตุการณ์ที่น่าประทับใจในวงการคริปโตในสัปดาห์นี้ เมื่อผู้ใช้สามารถกู้คืนเงินของตนหลังจากสูญเสีย 100 ETH เนื่องจากข้อบกพร่องในกระเป๋าเงิน
การกู้คืนนี้เป็นผลมาจากการดำเนินการของทีม Safe Wallet และการมองการณ์ไกลของนักพัฒนาสายขาวที่ Protofire
100 ETH สูญหายเพราะบั๊กในกระเป๋า—แล้วกู้คืนได้อย่างน่าทึ่ง
เหตุการณ์นี้เกิดขึ้นเมื่อผู้ใช้ Ethereum ที่ใช้ชื่อว่า khalo_0x บน X (Twitter) พยายามที่จะโอน 100 ETH จาก Ethereum Mainnet ไปยัง บล็อกเชน Base โดยใช้ส่วนต่อประสาน Safe Wallet Bridge อย่างเป็นทางการ
ในอัตราปัจจุบันที่ ETH ซื้อขายอยู่ที่ 2,635 USD ณ เวลานี้ การโอนนี้มีมูลค่ามากกว่า 263,500 USD

โดยที่เขาไม่รู้ ข้อบกพร่องที่สำคัญในประสบการณ์ผู้ใช้ของเครื่องมือสะพานทำให้การโอนเงินไปยัง กระเป๋าเงินสมาร์ทคอนแทรค ที่ดูเหมือนจะเป็นของเขา
อย่างไรก็ตาม กระเป๋าเงินนี้ถูกควบคุมโดยหน่วยงานอื่น
ปัญหานี้เกิดจากการที่ Khalo ใช้เวอร์ชันเก่าของ Safe (v1.1.1) ที่ถูกใช้งานในปี 2020 ซึ่งเวอร์ชันนี้ไม่มีการพิจารณา multichain และขาดการป้องกันที่เป็นมาตรฐานในเวอร์ชันใหม่
ผลที่ตามมาคือ ผู้โจมตี หรืออย่างที่ดูเหมือนในตอนแรก ได้ทำการติดตั้งสำเนาที่อยู่กระเป๋าเงินของ Khalo บน Base แต่มีการกำหนดเจ้าของที่แตกต่างกัน ด้วยวิธีนี้พวกเขาสามารถยึดเงินได้ทันทีที่มีการโอน
ดิฉันสูญเสียเงินออมชีวิตในคลิกเดียวเมื่อใช้ Safe เมื่อคืน นั่นหลังจากถือ ETH มา 8 ปีและหลีกเลี่ยงการหลอกลวง ข้อบกพร่อง UX ในฟีเจอร์ Bridge อย่างเป็นทางการบอกว่าที่อยู่ปลายทางคือ Safe ของดิฉันบน Base แต่ไม่ใช่ Khalo กล่าวด้วยความเสียใจ ในโพสต์
ทวีตนี้ได้รับความสนใจจากชุมชนคริปโต รวมถึงทีม Safe นักพัฒนา Tschubotz.eth ได้ตรวจสอบและพบว่าที่อยู่ Base ที่ควบคุม ETH ที่ถูกโอน ไม่ได้เป็นอันตรายแต่อย่างใด
เวอร์ชันกระเป๋าเงินเก่าเปิดช่องให้การโจมตีข้ามเชน
แทนที่จะเป็นเช่นนั้น มันถูกปรับใช้โดย Protofire ซึ่งเป็นบริษัทพัฒนาที่มีจริยธรรมที่ได้ปรับใช้กระเป๋าเงิน Safe v1.1.1 หลายร้อยใบบน Base อย่างเชิงรุกเพื่อป้องกันไม่ให้ผู้โจมตีที่ไม่มีจริยธรรมทำเช่นนั้น
ต่างจาก EOAs (Externally Owned Accounts) บัญชีอัจฉริยะอย่าง Safe ถูกควบคุมโดยโค้ดสัญญาอัจฉริยะที่ปรับใช้แล้ว มันเป็นไปได้ทางเทคนิคที่จะปรับใช้บัญชีอัจฉริยะด้วยการตั้งค่าการปรับใช้เดียวกัน (ผู้ลงนามเดียวกัน) บนเครือต่าง ๆ ที่อยู่เดียวกัน (ใช้การปรับใช้ counterfactual) แต่กรณีนี้แตกต่าง… เวอร์ชันบัญชีอัจฉริยะจากตอนนั้น (v1.1.1.) ยังไม่ได้เขียนโดยคำนึงถึง multichain ดังนั้นจึงเป็นไปได้ที่ใครก็ตามจะปรับใช้บัญชีอัจฉริยะบนเครือข่ายที่แตกต่างกันด้วยการตั้งค่าที่แตกต่างกันโดยสิ้นเชิงที่อยู่เดียวกัน Lukas Schor ผู้ร่วมก่อตั้ง Safe อธิบาย
เมื่อยืนยันตัวตนของ Khalo แล้ว Protofire ได้คืน 100 ETH เต็มจำนวนอย่างรวดเร็ว การโอนเต็มจำนวนสำเร็จตามการทดสอบการทำธุรกรรม แก้ไขวิกฤตเพียงไม่กี่ชั่วโมงหลังจากที่มันเริ่มต้น
นี่เป็นหนึ่งในเรื่องราวคริปโตที่เจ๋งที่สุดที่ฉันเคยเห็นในระยะหนึ่ง Haseeb Qureshi หุ้นส่วนผู้จัดการที่ Dragonfly กล่าว
เหตุการณ์นี้เน้นย้ำถึงความจำเป็นเร่งด่วนในการมีการป้องกันผู้ใช้ที่ดีขึ้นเมื่อกระเป๋าเงินคริปโตพัฒนาในระบบนิเวศ multichain
เวอร์ชันที่อัปเดตของ Safe v1.2.0 ขณะนี้มีการป้องกันจากการโจมตีประเภทนี้โดยการเปลี่ยนวิธีการคำนวณเกลือ CREATE2 ระหว่างการปรับใช้สัญญา
เครื่องมือสะพานยังได้รับการอัปเกรดเพื่อออกคำเตือนหากมีโค้ดสัญญาอัจฉริยะที่ขัดแย้งกันที่อยู่ปลายทาง
อย่างไรก็ตาม เหตุการณ์นี้เป็นการเตือนสติว่าผู้ใช้ยังคงเสี่ยงต่อบั๊กที่ละเอียดอ่อนและไม่ชัดเจน
เรายังคงอยู่ในจุดที่ผู้ใช้คาดว่าจะทำการทดสอบการทำธุรกรรมก่อนที่จะย้ายเงินจำนวนมาก Schor กล่าวเสริม
แม้จะมีความตื่นตระหนกในตอนแรก แต่เรื่องราวของ Khalo ก็จบลงด้วยการที่เงินของเขาได้รับการคืน
ข้อจำกัดความรับผิด
หมายเหตุบรรณาธิการ: เนื้อหาต่อไปนี้ไม่ได้สะท้อนถึงมุมมองหรือความคิเห็นของ BeInCrypto มันจัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้นและไม่ควรถูกตีความว่าเป็นคำแนะนำทางการเงิน กรุณาทำการวิจัยของคุณเองก่อนที่จะทำการตัดสินใจลงทุนใดๆ
