โปรโตคอล Rubic ทางการเงินแบบกระจายอำนาจข้ามสายโซ่ (DeFi) ถูกบุกรุก ส่งผลให้เงินที่เก็บไว้ในที่อยู่ของผู้ใช้ถูกดูดออกและโอนไปยังแฮ็กเกอร์
เมื่อวันที่ 25 ธันวาคม โปรโตคอล Rubic ประกาศว่าหนึ่งในสัญญาการกำหนดเส้นทางถูกละเมิดและสัญญาทั้งหมดจะหยุดทำงานจนกว่าสถานการณ์จะเข้าใจโดยสมบูรณ์ ประกาศอ่าน:
ผู้สร้างโปรโตคอลยังแนะนำให้ผู้ใช้ยกเลิกการอนุญาตสัญญาผ่านเครื่องมือ revoke.cash กระทู้บน Twitter โดย PeckShield บริษัทด้านความปลอดภัยทางไซเบอร์ของ blockchain อธิบายว่าช่องโหว่ในโปรโตคอล Rubic นำไปสู่การสูญเสียเงินมูลค่า 1.41 ล้านดอลลาร์โดยตรงจากกระเป๋าเงินที่อนุญาตสัญญาอัจฉริยะ
ที่อยู่ของผู้แสวงประโยชน์ได้รับเงินจาก unswap การแลกเปลี่ยนแบบกระจายอำนาจ (DEX) ในการทำธุรกรรมที่เกี่ยวข้องกับเหรียญ Stablecoin ของ USD Coin (USDC) PeckShied อธิบายว่าการแฮ็กเกิดขึ้นได้จากการเพิ่ม USDC ลงในเราเตอร์ที่รองรับโดยไม่ได้ตั้งใจ นอกจากนี้ “การขาดการตรวจสอบความถูกต้องใน ruterCallNative” ยังอนุญาตให้ใช้สัญญาที่เป็นอันตรายได้
การวิเคราะห์สัญญาอัจฉริยะอย่างรวดเร็วด้วยความช่วยเหลือของ chatGPT บ่งชี้ว่าฟังก์ชัน ruterCallNative มีช่องโหว่จำนวนมาก รวมถึงอินพุตที่ไม่ถูกต้องสำหรับพารามิเตอร์ “_params” และ “_data” สิ่งเหล่านี้อาจทำให้ผู้โจมตีส่งข้อมูลที่เป็นอันตรายซึ่งอาจส่งผลให้เกิดพฤติกรรมที่ไม่ถูกต้องหรือไม่ได้ตั้งใจ
นอกจากนี้ พารามิเตอร์ “_gateway” ที่ส่งผ่านไปยังฟังก์ชันนั้นไม่ถูกจำกัด ซึ่งอาจทำให้ผู้โจมตีสามารถสร้างสัญญาและดำเนินการโดยสัญญา RubicProxy
แท้จริงแล้วผู้โจมตี นำไปใช้ สัญญาอัจฉริยะแบบกำหนดเองที่ใช้ในการโจมตี เดอะ ถอดรหัส bytecode แสดงรหัส 337 บรรทัดที่ทำให้ผู้โจมตีสามารถโจมตีได้อย่างมีประสิทธิภาพที่สุด
ที่อยู่ของแฮ็กเกอร์ได้รับ 1,161.55 เป็นครั้งแรก ethereum การโอน (ETH) และการโอนอีก 26.88 ETH ทั้งจากโปรโตคอล Uniswap ที่ดึงเอาเฉพาะ USDC ออกมาและแลกเปลี่ยนเป็น ethereum (WETH) หลังจากนั้น WETH ทั้งหมดนี้ถูกส่งไปยังมิกเซอร์บนเครือข่ายและนิติบุคคลที่ถูกลงโทษในภายหลัง เงินสดทอร์นาโด เพื่อไม่เปิดเผยชื่อกองทุนที่ไม่ได้รับ
การวิเคราะห์บนเครือข่ายแสดงให้เห็นว่าธุรกรรมขาเข้ามูลค่า 1.45 ล้านดอลลาร์ที่ส่งไปยังบริการไม่เปิดเผยตัวตนของเหรียญนั้นมาจากที่อยู่ของแฮ็กเกอร์ — จากมูลค่ารวมของบริการที่รับเข้ามาประมาณ 2.9 ล้านดอลลาร์ กล่าวอีกนัยหนึ่ง ประมาณครึ่งหนึ่งของทรัพย์สินที่ส่งไปยังมิกเซอร์ในวันนี้ถูกส่งโดยผู้แสวงประโยชน์
แม้ว่าเงินของแฮ็กเกอร์จะเป็นส่วนสำคัญของปริมาณธุรกรรมที่เข้ามาของบริการ แต่การไม่เปิดเผยตัวตนของพวกเขายังคงมีอยู่มาก เงินฝากอาจเป็นหนึ่งในการถอนเงิน 2 ล้านดอลลาร์จาก Tornado Cash ที่ดำเนินการในวันนี้หรือในสินทรัพย์มูลค่า 174 ล้านดอลลาร์ที่ยังคงฝากไว้ในสัญญาอัจฉริยะ
Tornado Cash เป็นโปรโตคอล DeFi ที่ผิดกฎหมายซึ่งอนุญาตให้ผู้ใช้ทำการถ่ายโอนโดยไม่ระบุตัวตนบน Ethereum blockchain โปรโตคอลใช้การพิสูจน์ความรู้เป็นศูนย์ (การพิสูจน์ ZK) เพื่อซ่อนที่อยู่อินพุตและเอาต์พุตของธุรกรรม เป็นเรื่องยากสำหรับบุคคลที่สามที่จะระบุตัวตนของบุคคลที่เกี่ยวข้องในธุรกรรมหรือวัตถุประสงค์เฉพาะของการโอน
Tornado Cash เป็นโครงการโอเพ่นซอร์สที่สร้างขึ้นบนบล็อกเชน Ethereum และทุกคนที่มีกระเป๋าเงิน Ethereum สามารถเข้าถึงได้ ผู้ใช้สามารถโต้ตอบกับสัญญา Tornado Cash โดยใช้กระเป๋าเงิน Ethereum หรือเว็บอินเตอร์เฟสที่ยังคงใช้งานได้ผ่านบริการโฮสติ้งแบบกระจายศูนย์ InterPlanetary File System (IPFS) พวกเขาสามารถดำเนินการโอน ETH หรือโทเค็นที่ไม่ระบุชื่อซึ่งเป็นไปตามมาตรฐาน ERC-20 โดยส่งเงินไปยังสัญญา Tornado Cash และถอนเงินไปยังที่อยู่ใหม่
ข่าวตามล่าสุด รายงาน ว่าแฮ็กเกอร์ชาวเกาหลีเหนือได้ขโมยเงินดิจิทัลและสินทรัพย์เสมือนอื่น ๆ ไปประมาณ 1.2 พันล้านดอลลาร์ในช่วงห้าปีที่ผ่านมา การแฮ็กส่วนใหญ่เกิดขึ้นในปี 2021 เพียงปีเดียว
ที่มา: https://crypto.news/rubic-dex-aggregator-hack-leads-to-1-4m-of-user-funds-stolen/