! [](https://img.gateio.im/social/moments-767773e92240d37435116917cba1f364)การโจมตีเมื่อเร็วๆ นี้ในพื้นที่ DeFi – ได้แสดงให้เห็นถึงจุดอ่อนในระบบเก็บรักษาสกุลเงินดิจิทัล โดยเฉพาะ vault ERC-4626 แฮ็กเกอร์ได้ใช้เครื่องมือที่คุ้นเคยเรียกว่า *flash loan* (การกู้ยืมเงินด่วน ยืมและคืนทันทีในชั่วพริบตา)เพื่อทำให้เกิดความผิดปกติในอัตราแลกเปลี่ยนและหลอกลวงระบบการประเมินราคา หรือที่เรียกว่า *oracle*.เมื่อวันที่ 27 กุมภาพันธ์ แฮ็กเกอร์ได้ดําเนินการที่เรียกว่า "การโจมตีการบริจาค" โดยยืมเงินประมาณ 4 ล้านดอลลาร์จาก Aave ซึ่งเป็นแพลตฟอร์มการให้กู้ยืมสกุลเงินดิจิทัล เป้าหมายคือโทเค็น wUSDM ซึ่งเป็นส่วนหนึ่งของระบบห้องนิรภัย ERC-4626 ของ Mountain Protocol เป็นสกุลเงินดิจิทัลที่ทํากําไรได้ซึ่งเชื่อมโยงกับ USDM stablecoin ซึ่งเป็นสกุลเงินดิจิทัลที่มีมูลค่าคงที่เนื่องจากได้รับการค้ําประกันโดยพันธบัตรสหรัฐฯ ระยะสั้น แฮ็กเกอร์จงใจผลักดันอัตรา wUSDM จาก 1.06 เป็น 1.7 ทําให้ดูคุ้มค่ากว่าที่เป็นจริงต่อไป แฮ็กเกอร์ใช้บัญชีสองบัญชีเพื่อ "เคลียร์" ด้วยตนเอง ซึ่งก็คือการแสร้งขายสินทรัพย์ของตนเอง บน Venus Protocol ซึ่งเป็นแพลตฟอร์มการให้ยืมอื่น แม้ว่า Venus จะล็อคการทำธุรกรรมอย่างรวดเร็วเพื่อป้องกัน แฮ็กเกอร์ก็ยังได้กำไรประมาณ 200,000 USD ในขณะที่ Venus ประสบความเสียหายมากกว่า 716,000 USD ตามรายงานการวิเคราะห์จาก Chaos Labs ซึ่งเป็นบริษัทที่เชี่ยวชาญด้านการจัดการความเสี่ยง.Yoni Keselbrener, หัวหน้าฝ่าย DeFi ที่ Lightblocks Labs, ได้แบ่งปันกับ The Block ว่า "ทั้งสองทีมได้ตอบสนองอย่างทันท่วงทีโดยการล็อคตลาด ปรับกฎเกณฑ์ความเสี่ยง และนำอัตราแลกเปลี่ยนกลับสู่ระดับปกติ" Keselbrener เป็นผู้มีส่วนร่วมใน eOracle ซึ่งเป็นระบบที่ให้ข้อมูลจริงสำหรับแอปพลิเคชันแบบกระจายศูนย์บน Ethereum.Vault ERC-4626, เปิดตัวตั้งแต่เดือนพฤษภาคม 2022, เป็นมาตรฐานในการสร้างคลังเก็บสกุลเงินดิจิทัล อย่างไรก็ตาม รายงานของ Chaos Labs ชี้ให้เห็นว่ามาตรฐานนี้ "ไม่มีมาตรการป้องกันเมื่ออัตราแลกเปลี่ยนมีการเปลี่ยนแปลงอย่างผิดปกติในแพลตฟอร์มการกู้ยืม."ในเดือนมกราคม 2024, Euler Finance ได้ประกาศการศึกษาเตือนว่า vault ERC-4626 ส่วนใหญ่ไม่มีกลไกความปลอดภัยในการป้องกันการจัดการอัตราแลกเปลี่ยน พวกเขาเชื่อว่าจำเป็นต้องรวมมาตรการป้องกันหลายอย่างเพื่อให้มีประสิทธิภาพมากขึ้น.Chaos Labs ยังกล่าวด้วยว่าการโจมตีอาจหลีกเลี่ยงได้ด้วยมาตรการต่างๆ เช่น "สัญญา wUSDM ควรใช้ระบบการตรวจสอบอัตราแลกเปลี่ยนจากแหล่งต่างๆ หรือหากดาวศุกร์ถูกเตือนก่อนกําหนด ก็สามารถจํากัดอัตราที่เพิ่มขึ้นอย่างผิดปกติได้" เพื่อหลีกเลี่ยงการเกิดซ้ํา Aave วางแผนที่จะใช้ CAPO ซึ่งเป็นเครื่องมือจํากัดภาวะกระทิงเทียมกับ cryptocurrencies ที่ทํากําไรได้ทั้งหมดเพื่อป้องกันไม่ให้แฮกเกอร์ทํากําไรเสมือนจริงบัญชี X ของ Curve Finance แสดงความคิดเห็นว่า: "ช่องโหว่นี้ไม่เพียงเกิดขึ้นกับ vault ที่ได้มาตรฐาน แต่เกิดขึ้นกับ vault ทุกประเภท นี่คือข้อผิดพลาดที่พบได้บ่อยในแพลตฟอร์มการให้กู้ยืม."Keselbrener กล่าวไว้ว่า: “กลไก CAPO มีประสิทธิภาพมาก แต่ต้องการโปรแกรมมิ่งโค้ดที่ซับซ้อนมากขึ้นและต้องมีการติดตามอย่างต่อเนื่อง เราต้องมั่นใจว่ามันจะไม่ขัดขวางผลกำไรที่ถูกต้องตามกฎหมายและยังคงป้องกันแฮกเกอร์ได้” เขาเสริมว่า: “เมื่อ DeFi มีความซับซ้อนมากขึ้น เราไม่สามารถพึ่งพาข้อมูลราคาที่ง่ายๆ ได้ จำเป็นต้องเข้าใจความเสี่ยงของสกุลเงินดิจิทัลแต่ละประเภท ระบบตรวจสอบราคาจากหลายแหล่งไม่ใช่ข้อเสีย แต่เป็นชั้นป้องกันที่สำคัญ ผู้ให้บริการ oracle ที่เชี่ยวชาญสามารถออกแบบมาตรการในการตรวจจับและป้องกันการโจมตีเช่นนี้ได้.”***ข้อจำกัดความรับผิดชอบ:*** *บทความนี้มีวัตถุประสงค์เพื่อข้อมูลเท่านั้น ไม่ใช่คำแนะนำในการลงทุน นักลงทุนควรศึกษาให้ดีก่อนตัดสินใจ เราจะไม่รับผิดชอบต่อการตัดสินใจลงทุนของคุณ* * ประเทศไทยอนุมัติ USDT และ USDC ขยายการซื้อขายสกุลเงินดิจิทัล* หน่วยงานกำกับดูแลทางการเงินของแคลิฟอร์เนียเตือนเกี่ยวกับการหลอกลวงสกุลเงินดิจิทัลและ AI ใหม่ 7 ประเภท* Microsoft พบโทรจัน StilachiRAT โจมตีเงินดิจิทัลบน Google Chrome จากระยะไกลทักษิณ @media เฉพาะหน้าจอและ ( ความกว้างขั้นต่ํา: 0px) และ ( ความสูง: 0px) { div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] { ความกว้าง: 320px; ความสูง: 100px; } } @media เฉพาะหน้าจอและ ( ความกว้างขั้นต่ํา: 728px) และ ( ความสูง: 0px) { div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] { ความกว้าง: 728px; ความสูง: 90px; } }
การโจมตี DeFi เมื่อเร็วๆ นี้ได้เปิดเผยช่องโหว่ในมาตรฐาน vault ERC-4626
! การโจมตีเมื่อเร็วๆ นี้ในพื้นที่ DeFi – ได้แสดงให้เห็นถึงจุดอ่อนในระบบเก็บรักษาสกุลเงินดิจิทัล โดยเฉพาะ vault ERC-4626 แฮ็กเกอร์ได้ใช้เครื่องมือที่คุ้นเคยเรียกว่า flash loan (การกู้ยืมเงินด่วน ยืมและคืนทันทีในชั่วพริบตา)เพื่อทำให้เกิดความผิดปกติในอัตราแลกเปลี่ยนและหลอกลวงระบบการประเมินราคา หรือที่เรียกว่า oracle.
เมื่อวันที่ 27 กุมภาพันธ์ แฮ็กเกอร์ได้ดําเนินการที่เรียกว่า "การโจมตีการบริจาค" โดยยืมเงินประมาณ 4 ล้านดอลลาร์จาก Aave ซึ่งเป็นแพลตฟอร์มการให้กู้ยืมสกุลเงินดิจิทัล เป้าหมายคือโทเค็น wUSDM ซึ่งเป็นส่วนหนึ่งของระบบห้องนิรภัย ERC-4626 ของ Mountain Protocol เป็นสกุลเงินดิจิทัลที่ทํากําไรได้ซึ่งเชื่อมโยงกับ USDM stablecoin ซึ่งเป็นสกุลเงินดิจิทัลที่มีมูลค่าคงที่เนื่องจากได้รับการค้ําประกันโดยพันธบัตรสหรัฐฯ ระยะสั้น แฮ็กเกอร์จงใจผลักดันอัตรา wUSDM จาก 1.06 เป็น 1.7 ทําให้ดูคุ้มค่ากว่าที่เป็นจริง
ต่อไป แฮ็กเกอร์ใช้บัญชีสองบัญชีเพื่อ "เคลียร์" ด้วยตนเอง ซึ่งก็คือการแสร้งขายสินทรัพย์ของตนเอง บน Venus Protocol ซึ่งเป็นแพลตฟอร์มการให้ยืมอื่น แม้ว่า Venus จะล็อคการทำธุรกรรมอย่างรวดเร็วเพื่อป้องกัน แฮ็กเกอร์ก็ยังได้กำไรประมาณ 200,000 USD ในขณะที่ Venus ประสบความเสียหายมากกว่า 716,000 USD ตามรายงานการวิเคราะห์จาก Chaos Labs ซึ่งเป็นบริษัทที่เชี่ยวชาญด้านการจัดการความเสี่ยง.
Yoni Keselbrener, หัวหน้าฝ่าย DeFi ที่ Lightblocks Labs, ได้แบ่งปันกับ The Block ว่า "ทั้งสองทีมได้ตอบสนองอย่างทันท่วงทีโดยการล็อคตลาด ปรับกฎเกณฑ์ความเสี่ยง และนำอัตราแลกเปลี่ยนกลับสู่ระดับปกติ" Keselbrener เป็นผู้มีส่วนร่วมใน eOracle ซึ่งเป็นระบบที่ให้ข้อมูลจริงสำหรับแอปพลิเคชันแบบกระจายศูนย์บน Ethereum.
Vault ERC-4626, เปิดตัวตั้งแต่เดือนพฤษภาคม 2022, เป็นมาตรฐานในการสร้างคลังเก็บสกุลเงินดิจิทัล อย่างไรก็ตาม รายงานของ Chaos Labs ชี้ให้เห็นว่ามาตรฐานนี้ "ไม่มีมาตรการป้องกันเมื่ออัตราแลกเปลี่ยนมีการเปลี่ยนแปลงอย่างผิดปกติในแพลตฟอร์มการกู้ยืม."
ในเดือนมกราคม 2024, Euler Finance ได้ประกาศการศึกษาเตือนว่า vault ERC-4626 ส่วนใหญ่ไม่มีกลไกความปลอดภัยในการป้องกันการจัดการอัตราแลกเปลี่ยน พวกเขาเชื่อว่าจำเป็นต้องรวมมาตรการป้องกันหลายอย่างเพื่อให้มีประสิทธิภาพมากขึ้น.
Chaos Labs ยังกล่าวด้วยว่าการโจมตีอาจหลีกเลี่ยงได้ด้วยมาตรการต่างๆ เช่น "สัญญา wUSDM ควรใช้ระบบการตรวจสอบอัตราแลกเปลี่ยนจากแหล่งต่างๆ หรือหากดาวศุกร์ถูกเตือนก่อนกําหนด ก็สามารถจํากัดอัตราที่เพิ่มขึ้นอย่างผิดปกติได้" เพื่อหลีกเลี่ยงการเกิดซ้ํา Aave วางแผนที่จะใช้ CAPO ซึ่งเป็นเครื่องมือจํากัดภาวะกระทิงเทียมกับ cryptocurrencies ที่ทํากําไรได้ทั้งหมดเพื่อป้องกันไม่ให้แฮกเกอร์ทํากําไรเสมือนจริง
บัญชี X ของ Curve Finance แสดงความคิดเห็นว่า: "ช่องโหว่นี้ไม่เพียงเกิดขึ้นกับ vault ที่ได้มาตรฐาน แต่เกิดขึ้นกับ vault ทุกประเภท นี่คือข้อผิดพลาดที่พบได้บ่อยในแพลตฟอร์มการให้กู้ยืม."
Keselbrener กล่าวไว้ว่า: “กลไก CAPO มีประสิทธิภาพมาก แต่ต้องการโปรแกรมมิ่งโค้ดที่ซับซ้อนมากขึ้นและต้องมีการติดตามอย่างต่อเนื่อง เราต้องมั่นใจว่ามันจะไม่ขัดขวางผลกำไรที่ถูกต้องตามกฎหมายและยังคงป้องกันแฮกเกอร์ได้” เขาเสริมว่า: “เมื่อ DeFi มีความซับซ้อนมากขึ้น เราไม่สามารถพึ่งพาข้อมูลราคาที่ง่ายๆ ได้ จำเป็นต้องเข้าใจความเสี่ยงของสกุลเงินดิจิทัลแต่ละประเภท ระบบตรวจสอบราคาจากหลายแหล่งไม่ใช่ข้อเสีย แต่เป็นชั้นป้องกันที่สำคัญ ผู้ให้บริการ oracle ที่เชี่ยวชาญสามารถออกแบบมาตรการในการตรวจจับและป้องกันการโจมตีเช่นนี้ได้.”
ข้อจำกัดความรับผิดชอบ: บทความนี้มีวัตถุประสงค์เพื่อข้อมูลเท่านั้น ไม่ใช่คำแนะนำในการลงทุน นักลงทุนควรศึกษาให้ดีก่อนตัดสินใจ เราจะไม่รับผิดชอบต่อการตัดสินใจลงทุนของคุณ
ทักษิณ
@media เฉพาะหน้าจอและ ( ความกว้างขั้นต่ํา: 0px) และ ( ความสูง: 0px) { div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] { ความกว้าง: 320px; ความสูง: 100px; } } @media เฉพาะหน้าจอและ ( ความกว้างขั้นต่ํา: 728px) และ ( ความสูง: 0px) { div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] { ความกว้าง: 728px; ความสูง: 90px; } }