SwapNet ซึ่งเป็น aggregator สำหรับ decentralized exchange (DEX) บนเชน ได้รับผลกระทบจากการโจมตี smart contract ครั้งใหญ่ ส่งผลให้สูญเสียคริปโตเคอร์เรนซีกว่า 16.8 ล้าน USD
เหตุการณ์นี้เน้นย้ำความเสี่ยงด้านความปลอดภัยที่ยังคงอยู่ซึ่งเกี่ยวข้องกับการอนุมัติโทเคนและสัญญาการนำทางของบุคคลที่สามในโลก decentralized finance (DeFi)
Sponsoredตัวรวม DEX แบบออนเชน SwapNet ถูกโจมตีเสียหาย USD16.8 ล้าน
PeckShield รายงานว่าผู้โจมตีได้มุ่งเป้าทำกิจกรรมที่เชื่อมโยงกับ SwapNet ซึ่งเข้าถึงผ่าน Matcha Meta ซึ่งเป็น meta DEX aggregator ที่สร้างโดยทีม 0x
บนเครือข่าย Base ผู้โจมตีได้แลกเปลี่ยน USDC ประมาณ 10.5 ล้าน USD เป็น ETH ประมาณ 3,655 ETH ก่อนจะข้ามสินทรัพย์ไปยัง Ethereum โดยนี่คือเทคนิคทั่วไปที่ใช้เพื่อเพิ่มความซับซ้อนในการติดตามและกู้คืนสินทรัพย์
ทาง Matcha Meta ชี้แจงว่าความเสี่ยงไม่ได้เกิดจากโครงสร้างหลักของแพลตฟอร์ม แต่เกิดกับผู้ใช้ที่เลือกไม่ใช้ระบบ One-Time Approval ของ 0x ซึ่งถูกออกแบบมาเพื่อจำกัดสิทธิ์การอนุมัติโทเคนต่อเนื่อง
ผู้ใช้ที่ปิดตัวเลือกนี้ได้อนุมัติโทเคนโดยตรงกับ aggregator contract พื้นฐาน รวมถึง router ของ SwapNet ซึ่งท้ายที่สุดกลายเป็นจุดที่ถูกโจมตี
เราทราบถึงเหตุการณ์เกี่ยวกับ SwapNet ที่อาจส่งผลกระทบผู้ใช้ Matcha Meta ที่ปิด One-Time Approvals แล้ว Matcha Meta กล่าวในแถลงการณ์
แพลตฟอร์มยืนยันว่ากำลังประสานงานร่วมกับทีม SwapNet โดยได้ปิดการใช้งานสัญญาที่ได้รับผลกระทบเป็นการชั่วคราวในขณะที่ดำเนินการสอบสวนต่อไป
Sponsored Sponsoredทั้งนี้ เพื่อเป็นการป้องกัน Matcha Meta ได้แนะนำให้ผู้ใช้ยกเลิกการอนุมัติที่ให้กับ aggregator อื่นๆ นอกเหนือจากกรอบ One-Time Approval ของ 0x โดยทันที
แพลตฟอร์มย้ำว่าควรยกเลิกการอนุมัติ router contract ของ SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) โดยด่วนที่สุด ไม่เช่นนั้นกระเป๋าเงินอาจยังมีความเสี่ยงแม้หลังควบคุมสถานการณ์ได้แล้ว
จุดสมดุลด้านความปลอดภัยของ DeFi: ความสะดวกเทียบกับความปลอดภัยท่ามกลางการโจมตี smart contract ที่เพิ่มขึ้น
เหตุการณ์นี้สะท้อนให้เห็นถึงความสมดุลระหว่างความสะดวกและความปลอดภัยในโลก DeFi โดย One-Time Approval กำหนดให้ผู้ใช้อนุมัติทุกธุรกรรมทีละรายการ ช่วยลดจุดเสี่ยง แต่ก็สร้างความไม่สะดวกแก่ผู้เทรดประจำ
Sponsoredด้าน unlimited approval แม้รวดเร็วกว่า ก็เปิดให้ smart contract เข้าถึงเงินของผู้ใช้งานอย่างต่อเนื่อง แต่เมื่อ contract ดังกล่าวถูกเจาะ ระบบนี้จะกลายเป็นช่องทางอันตรายโดยทันที
SwapNet ยังไม่เผยแพร่ผลการตรวจสอบเทคนิคฉบับเต็ม และยังไม่ระบุว่าจะชดเชยผู้ใช้ที่ได้รับผลกระทบหรือไม่ ทำให้เกิดคำถามเกี่ยวกับความรับผิดชอบและแนวทางฟื้นฟู
ขณะเดียวกัน ความไม่ชัดเจนดังกล่าวอาจยิ่งทำให้ผู้เกี่ยวข้องจับตาดูแนวทางการอนุมัติธุรกรรมและการเชื่อมต่อของ aggregator ทั่วทั้งวงการ DeFi มากยิ่งขึ้น
การโจมตี Ethereum ครั้งใหม่ชี้ให้เห็นความเสี่ยงของสัญญาที่ไม่ได้ยืนยันและปิดซอร์สในไทย
การโจมตีในครั้งนี้เกิดขึ้นในขณะที่มีรูปแบบปัญหาการโจมตีสมาร์ตคอนแทกต์และ เหตุการณ์ด้านความปลอดภัยในตลาดคริปโต อย่างต่อเนื่อง
Sponsored Sponsoredในวันเดียวกัน ผู้ตรวจสอบความปลอดภัย Pashov ยังได้แจ้งเตือนกรณีการโจมตีบนเครือข่ายหลัก Ethereum อีกรายหนึ่งที่เกี่ยวข้องกับ 37 WBTC คิดเป็นมูลค่ากว่า 3.1 ล้าน USD
กรณีนี้เกี่ยวข้องกับสมาร์ตคอนแทกต์แบบปิด ไม่ได้รับการยืนยัน ที่เพิ่งเริ่มใช้งานเมื่อ 41 วันก่อน โดยสมาร์ตคอนแทกต์เผยแพร่เพียง bytecode ที่มนุษย์ไม่สามารถอ่านได้ ทำให้สาธารณชนไม่สามารถตรวจสอบ
เมื่อพิจารณาร่วมกัน เหตุการณ์เหล่านี้แสดงให้เห็นว่าผู้ไม่หวังดีมีช่องทางโจมตี DeFi จำนวนมาก ได้แก่
- โค้ดที่ไม่ได้รับการตรวจสอบ
- การอนุมัติแบบถาวร และ
- เลเยอร์การส่งผ่านธุรกรรมที่ซับซ้อน
แม้ว่าจะมีการตรวจสอบและพัฒนาความปลอดภัยอย่างต่อเนื่องมาหลายปี DeFi ก็ยังคงเผชิญกับช่องโหว่เชิงโครงสร้างอยู่ดี เรื่องนี้กลายเป็นภาระที่นักพัฒนาและผู้ใช้งานต้องร่วมกันหาทางสมดุลระหว่างการใช้งานกับการบริหารความเสี่ยง
