ผู้โจมตีได้ดูดเงินประมาณ USD 2.1 ล้าน จาก Thetanuts Finance vault ที่ถูกยกเลิกใช้งานแล้วในเหตุการณ์โจมตี Decentralized Finance (DeFi) ล่าสุด โดยผู้ป้องกัน whitehat สามารถกู้คืน option token กลับมาได้ประมาณ USD 2 ล้าน
การละเมิดดังกล่าวเกิดขึ้นกับ vault เก่าซึ่งโปรโตคอลได้ย้ายออกมาจากระบบหลายปีก่อน ทั้งนี้ Thetanuts ระบุว่า vault ดังกล่าวไม่มีความเชื่อมโยงกับผลิตภัณฑ์ปัจจุบันหรือระบบที่ใช้งานอยู่ในขณะนี้
เจาะลึกเหตุการณ์โจมตี Thetanuts Vault DeFi
บริษัทด้านความปลอดภัยบล็อกเชนพากันแจ้งเตือนเหตุการณ์ดังกล่าวบน X (ชื่อเดิม Twitter) โดย SlowMist ตรวจสอบสาเหตุหลักไปยังช่องโหว่ integer division ในฟังก์ชัน mint ของสมาร์ทคอนแทรกต์
หลังเกิดเหตุ drain vault สูตรการฝากคืนค่าเป็น 0 เนื่องจากการปัดเศษในการหารจำนวนเต็ม ทำให้ผู้โจมตีสามารถ mint โทเคนโดยไม่ต้องจ่ายเงิน ช่องโหว่นี้จึงเปิดโอกาสให้สร้างโทเคนได้ไม่จำกัด
PeckShield เปิดเผยว่าผู้โจมตีได้สวอป USDC มูลค่า USD 105,000 (USDC) สำหรับ Ethereum (ETH) ประมาณ 60 เหรียญ โดยกระเป๋าดังกล่าวยังมี option token ประมาณ USD 34,000 อยู่
ติดตามเราบน X เพื่อรับข่าวสารล่าสุดแบบเรียลไทม์
Thetanuts ได้ออกแถลงการณ์สาธารณะถึงเหตุการณ์โจมตีในครั้งนี้ด้วย
จากการตรวจสอบเบื้องต้นของเรา บ่งชี้ว่านี่เป็น vault ที่ถูกยกเลิกใช้งานไปนานแล้วอีกครั้งหนึ่ง เราได้ย้ายออกจาก vault นี้มาเป็นเวลาหลายปี จึงไม่มีความเชื่อมโยงกับสมาร์ทคอนแทรกต์หรือผลิตภัณฑ์ปัจจุบันของเรา เราจะออก post-mortem เมื่อได้ข้อมูลเพิ่มเติม ทีมงานกล่าว
การโจมตีนี้สอดคล้องกับแนวโน้มการเจาะระบบโค้ดเก่าและโค้ดที่ไม่ได้รับการดูแลอีกต่อไป สัญญาเก่ามักจะยังออนไลน์อยู่บนเชน แม้ทีมงานจะหยุดดูแลไปแล้ว
BeInCrypto รายงานว่าผู้โจมตีได้ดูดเงินประมาณ USD 2.1 ล้านจาก Aztec Connect ซึ่งถูกยกเลิกการใช้งานมาตั้งแต่สามปีก่อน อีกกรณีแยกเป็นการละเมิดที่กระทบกับ Raydium (RAY) legacy liquidity pool สำหรับมูลค่าประมาณ USD 1.3 ล้าน
สมัครรับข้อมูลบน YouTube ของเราเพื่อชมผู้นำและนักข่าวนำเสนอข้อมูลเชิงลึกโดยผู้เชี่ยวชาญ
