เพียงหนึ่งสัปดาห์หลังจากการแฮ็ก Wintermute เงิน 950,000 ดอลลาร์ใน Ether (ETH) ถูกขโมยจากกระเป๋าเงินคริปโตผ่านการใช้ประโยชน์จาก “ที่อยู่ไร้สาระ” ตามรายงานเมื่อวันที่ 26 กันยายน พ.ศ. 2022
คำพูดไร้สาระที่สร้างคำหยาบคายภายใต้การโจมตี
วันที่ 26 กันยายน Peckshield บริษัทรักษาความปลอดภัยบล็อคเชน ทวีต ที่แฮ็กเกอร์ขโมย Ether มูลค่า 950,000 ดอลลาร์ (ผลประโยชน์ทับซ้อน) จากกระเป๋าเงินดิจิตอล แฮ็คดังกล่าวมีความคล้ายคลึงกันมากกับการละเมิด $ 160 ล้านใน Wintermute เมื่อสัปดาห์ที่แล้ว
peckshield กล่าวว่าแฮ็กเกอร์ขโมย 732 ETH จากกระเป๋าเงิน cryptocurrency เมื่อวันที่ 25 กันยายนและผสมกับกองทุน crypto อื่น ๆ โดยใช้บริการผสม crypto ที่ถูกคว่ำบาตร เงินสดทอร์นาโด จากนั้นเงินก็ถูกโอนไปยังกระเป๋าเงินคริปโตของผู้ร้ายได้สำเร็จ
ผู้เชี่ยวชาญได้เปิดเผยว่าการปล้นครั้งล่าสุดประสบความสำเร็จเนื่องจากจุดอ่อนในตัวสร้างที่อยู่ของ vanity ซึ่งถูกค้นพบครั้งแรกบน GitHub ในเดือนมกราคม 2022 ช่องโหว่ดังกล่าวได้รับการเผยแพร่ในเดือนกันยายนเมื่อผู้รวบรวมการแลกเปลี่ยนแบบกระจายอำนาจขนาด 1 นิ้ว พบปัญหาด้านความปลอดภัยขั้นพื้นฐานด้วยเครื่องมือ Profanity .
สำหรับผู้ที่ไม่ได้ฝึกหัด เครื่องมือ Profanity เป็นเครื่องมือสร้างที่อยู่กระเป๋าเงิน vanity ตามที่ได้กล่าวไปแล้ว แม้ว่าที่อยู่กระเป๋าเงิน Ethereum ส่วนใหญ่จะสร้างขึ้นแบบสุ่ม แต่ที่อยู่แบบไร้สาระเหล่านี้สร้างขึ้นด้วยคำเฉพาะ เช่น ชื่อใครบางคน บางแห่งภายในที่อยู่นั้น
ตามที่ 1 นิ้ว ที่อยู่ไร้สาระจำนวนมากที่สร้างขึ้นโดยเครื่องมือหยาบคายนั้นมีความเสี่ยงที่จะถูกโจมตีซึ่งจะต้องมีการโจมตีด้วยกำลังเดรัจฉาน ในขณะที่ดำเนินการโจมตีนี้จะต้องใช้พลังประมวลผลจำนวนมาก แฮกเกอร์ยังคงพบว่าการโจมตีเหล่านี้เป็นแบบฝึกหัดที่คุ้มค่า หากมีการเข้ารหัสลับจำนวนมากในกระเป๋าเงิน
Crypto และ DeFi Heists ดำเนินต่อไป
การละเมิดความปลอดภัยและการแฮ็กได้กลายเป็นอาละวาดในภาค crypto ด้วย Defi โปรโตคอลที่ได้รับความนิยมสูงสุดจนถึงตอนนี้ สัปดาห์ที่แล้ว แฮกเกอร์ขโมยเงิน 160 ล้านดอลลาร์จากผู้ดูแลสภาพคล่อง crypto วินเทอร์มิวท์. ภายหลังเปิดเผยว่าการแฮ็กเกิดขึ้นได้เนื่องจากที่อยู่ของ Wintermute มีคุณสมบัติเป็นที่อยู่แบบไร้สาระ ซึ่งอาจเป็นต้นตอของช่องโหว่
ดูเหมือนว่าปัญหาจะยิ่งแย่ลงไปอีก ตาม รายงานs, crypto กว่า 1.9 พันล้านดอลลาร์ถูกขโมยโดยอาชญากรไซเบอร์ในเดือนกรกฎาคม 2022 ซึ่งมากกว่า 1.2 พันล้านดอลลาร์ที่ถูกขโมยในช่วงเวลาเดียวกันในปี 2021
Ethereum Devs ลอยตัวข้อเสนอ "เลิกทำ"
ความถี่ของการแฮ็ก crypto ที่เพิ่มขึ้นในปี 2022 ทำให้กลุ่มนักวิจัยจัดทำข้อเสนอใหม่สำหรับมาตรฐานโทเค็น Ethereum ใหม่สองมาตรฐาน: ERC20R และ ERC721R มาตรฐานโทเค็นใหม่ที่เสนอเป็นส่วนขยายของ ERC20 และ ERC721 ที่มีอยู่ และตอนนี้จะรวมความสามารถในการย้อนกลับธุรกรรมที่เป็นอันตราย
มาตรฐานโทเค็นที่เสนอจะรวมสัญญาโทเค็นและสัญญาการกำกับดูแลซึ่งหลังถูกควบคุมโดยระบบตุลาการแบบกระจายอำนาจ ตามข้อเสนอ ผู้ใช้ที่ตกเป็นเหยื่อของการแฮ็กสามารถขอระงับสัญญาอัจฉริยะในการกำกับดูแลพร้อมหลักฐานสนับสนุน
คำขอระงับจะถูกส่งไปยังคณะกรรมการตัดสินที่กระจายอำนาจซึ่งจะลงคะแนนเพื่อตัดสินใจว่ามีหลักฐานสำคัญที่จะระงับเงินหรือไม่
หากผู้พิพากษาส่วนใหญ่ลงคะแนนเห็นชอบให้หยุดการพิจารณาคดีก็จะเริ่มต้นขึ้น ในระหว่างการพิจารณาคดี ทั้งสองฝ่าย (เหยื่อและแฮ็กเกอร์) สามารถส่งหลักฐานของตนไปยังผู้พิพากษาที่กระจายอำนาจ ซึ่งจะลงคะแนนให้ผลอีกครั้ง
แม้ว่าแนวคิดดังกล่าวจะมีศักยภาพในการลดความเสี่ยงจากการละเมิดความปลอดภัย หลายคนในพื้นที่คริปโตได้วิพากษ์วิจารณ์ข้อเสนอ โดยกล่าวว่าความคิดริเริ่มดังกล่าวขัดต่อหลักการก่อตั้งเทคโนโลยีบล็อคเชน นักวิจารณ์บางคนยังชี้ให้เห็นว่าการเพิ่มคุณสมบัติการย้อนกลับให้กับสัญญาโทเค็น ERC20 อาจทำให้การรวมเข้ากับแอปพลิเคชันแบบกระจายศูนย์เป็นเรื่องที่ท้าทาย
ที่มา: https://crypto.news/hacker-exploits-profanitys-vanity-address-to-steal-950-in-eth/