MetaMask ได้ปฏิเสธว่าไม่ได้เป็นผู้ส่งข้อความบนเชนที่ถูกแชร์อย่างกว้างขวาง ซึ่งดูเหมือนจะแซว Jaredfromsubway ผู้ดำเนินการ MEV บน Ethereum ที่เพิ่งถูกดูดเงินไป 15 ล้าน USD จากการถูกโจมตีด้วย honeypot
ผู้ให้บริการวอลเล็ตได้ชี้แจงว่าข้อความดังกล่าวมาจากชื่อ Ethereum Name Service (ENS) ที่เลียนแบบ ไม่ได้มาจากแอดเดรสทางการของตน ความสับสนนี้เผยให้เห็นข้อบกพร่องด้านการออกแบบเกี่ยวกับวิธีการแสดงชื่อ ENS บนแทบทุกแพลตฟอร์ม
การปลอมแปลง ENS ต้นตอความสับสนในชื่อ MetaMask
ส่วนใหญ่ ทุกแพลตฟอร์มจะเปลี่ยนแฮนด์ ENS ให้เป็นตัวพิมพ์เล็กก่อนแสดง ซึ่งแนวปฏิบัตินี้ซ่อนความแตกต่างที่สำคัญไว้ MetaMask.eth ที่มีตัวอักษรใหญ่และ metamask.eth ของแท้จะดูเหมือนกันสำหรับผู้ใช้ส่วนใหญ่ แต่สองชื่อนี้เชื่อมโยงไปยังแอดเดรสที่แตกต่างกันโดยสิ้นเชิงบนเชน
ชื่อที่ปลอมตัวมานั้นปฏิเสธคำขู่ทางกฎหมายของ Jaredfromsubway พร้อมระบุว่าการฟ้องร้องจะไม่สามารถดำเนินคดีในศาลได้ และ MetaMask ได้ยืนยัน ทาง X ว่าตนไม่มีส่วนเกี่ยวข้องกับข้อความดังกล่าว
MetaMask ชี้แจงบทบาทของตนหลังเกิดเหตุ Jaredfromsubway ถูกโจมตี
Jaredfromsubway ได้เสนอข้อตกลง White Hat ให้กับผู้โจมตีโดยแบ่งเงิน 50% และกำหนดเส้นตาย 48 ชั่วโมง รวมทั้งข่มขู่ดำเนินคดีหากเงินไม่ถูกคืน เรื่องราวของการ ดูดเงินจาก MEV bot บน Ethereum ได้รับความสนใจอย่างมากในชุมชน DeFi ดังนั้นจึงกลายเป็นเป้าหมายมูลค่าสูงให้กับผู้แอบอ้าง
ผู้โจมตีไม่มีท่าทีว่าจะยอมรับข้อตกลง ข้อมูลบนเชนเผยว่าจากเงินที่ถูกขโมย 7.5 ล้าน USD มี 5.1 ล้าน USD ถูกย้ายเข้าสู่ Tornado Cash แล้ว โดยเงินนี้เข้าไปแบบ 2,000 ETH แบ่งเป็น 20 ธุรกรรม ธุรกรรมละ 100 ETH นอกจากนี้ผู้โจมตียังแปลง ETH ที่เหลืออีก 1,422 เหรียญเป็น DAI มูลค่า 2.44 ล้าน USD ตามข้อมูลของ นักวิเคราะห์บนบล็อกเชน
เหตุการณ์ MEV bot ถูกโจมตีด้วย honeypot ทำให้เกิดคำถามใหม่เกี่ยวกับความเสี่ยงที่ผู้ดำเนินการ MEV ต้องเผชิญในสภาพแวดล้อมแข่งขันอย่างดุเดือด อย่างไรก็ตาม การปลอมแปลง MetaMask กลับสร้างความกังวลอีกประการซึ่งไม่เกี่ยวข้องกับกลไก MEV เลย โดยสะท้อนถึงจุดอ่อนของระบบตั้งชื่อที่ผู้ใช้ Ethereum ทุกคนอาจเผชิญ
ช่องโหว่การออกแบบ ENS ทำให้ผู้ใช้งาน Ethereum เสี่ยง
ชื่อ ENS ปฏิบัติตามมาตรฐาน normalization ซึ่งจะแปลงตัวอักษรพิมพ์ใหญ่ทั้งหมดเป็นตัวพิมพ์เล็ก กระบวนการนี้ทำให้ชื่อไม่แยกแยะตัวพิมพ์ใหญ่/พิมพ์เล็กในระดับการแสดงผล แต่ในขั้นตอนการลงทะเบียน ก็ยังแยกแยะชุดตัวอักษรที่ต่างกันในเรื่องตัวพิมพ์ใหญ่และพิมพ์เล็ก ดังนั้นผู้ไม่ประสงค์ดีที่ลงทะเบียน “MetaMask.eth” จะถือชื่อ ENS ที่ถูกต้องตามเทคนิค พร้อมสิทธิอ้างครอบครองที่ถูกต้องตามเทคนิคเช่นกัน
ENS ไม่ได้ปิดกั้นการลงทะเบียนชื่อที่ต่างจากชื่อที่มีอยู่เพียงแค่เรื่องการใช้ตัวพิมพ์ใหญ่หรือเล็ก ผู้ก่อภัยสามารถลงทะเบียนชื่อเลียนแบบไว้ล่วงหน้าและนำมาใช้งานในช่วงเวลาที่มีประเด็นสำคัญ ซึ่งคลื่นการแฮ็กคริปโตในเดือนมิถุนายน ที่เป็นวงกว้าง ได้เปิดโปงรูปแบบวิศวกรรมสังคมลักษณะเดียวกันที่เชื่อมโยงกับเหตุการณ์สาธารณะ
รูปแบบที่ใหญ่ขึ้นในความปลอดภัย DeFi
ขณะเดียวกัน ความพยายามด้านความปลอดภัยของคริปโตในระดับผู้บริหาร มักมุ่งเน้นที่มาตรฐานวิทยาการเข้ารหัสเป็นหลัก แต่ช่องโหว่ด้านการตั้งชื่อในชั้นการแสดงผลยังคงอยู่นอกขอบข่ายการควบคุมดังกล่าว ส่งผลให้เกิดช่องว่างที่นักพัฒนาและผู้ให้บริการวอลเล็ตจะต้องเข้ามาแก้ไขกันเอง
เหตุการณ์กับ MetaMask นี้สะท้อนรูปแบบที่เห็นได้ทั่วทั้ง DeFi เพราะผู้โจมตีต่างฉวยประโยชน์จากช่องว่างระหว่างสิ่งที่อินเทอร์เฟซแสดงกับสิ่งที่โปรโตคอลประมวลผลจริง ๆ โดย การสูญเสียในโปรโตคอลให้กู้ DeFi ก็สะท้อนปัญหานี้ในเชิงโครงสร้าง และตราบใดที่อุตสาหกรรมยังไม่จัดการช่องโหว่เหล่านี้ การปลอมตัวในระดับแสดงผลจะยังคงเป็นวิถีโจมตีที่ต้นทุนต่ำแต่ผลตอบแทนสูงต่อไป
