SwapNet ซึ่งเป็น decentralized exchange aggregator สูญเสียคริปโตเคอเรนซีราว 13.43 ล้านดอลลาร์สหรัฐ หลังผู้โจมตีใช้ช่องโหว่สัญญา router ที่ถูกเจาะ ซึ่งได้รับการอนุมัติให้ใช้โทเคนแบบต่อเนื่องจากผู้ใช้ที่ปิดคุณสมบัติความปลอดภัยสำคัญ
What Happened: DEX Aggregator Exploit
บริษัทความปลอดภัย PeckShield reported การโจมตีครั้งนี้ ซึ่งมุ่งเป้ากิจกรรมที่เชื่อมโยงกับ SwapNet ซึ่งเข้าถึงได้ผ่าน Matcha Meta ซึ่งเป็น meta DEX aggregator ที่สร้างโดยทีม 0x ช่องโหว่นี้ส่งผลกระทบต่อผู้ใช้ที่เลือกไม่ใช้ระบบ One-Time Approval ของ 0x และให้สิทธิ์โดยตรงกับสัญญา aggregator ที่อยู่เบื้องหลัง
บนเครือข่าย Base ผู้โจมตีแปลง USDC (USDC) ประมาณ 10.5 ล้านดอลลาร์เป็น Ether (ETH) ประมาณ 3,655 ETH ก่อนจะ bridge เงินไปยังเครือข่าย Ethereum (ETH)
กลยุทธ์ลักษณะนี้เป็นวิธีทั่วไปที่ใช้เพื่อทำให้การติดตามเส้นทางเงินทำได้ยากขึ้น
“เราทราบถึงเหตุการณ์ที่เกิดกับ SwapNet ซึ่งผู้ใช้อาจได้รับผลกระทบบน Matcha Meta สำหรับผู้ที่ปิด One-Time Approvals” แถลงการณ์จาก Matcha Meta ระบุ แพลตฟอร์มระบุว่าสัญญา router ของ SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) เป็นการอนุมัติที่เร่งด่วนที่สุดที่ผู้ใช้ควรเพิกถอน
Also Read: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Why It Matters: Persistent DeFi Vulnerabilities
เหตุการณ์นี้ตอกย้ำถึงความตึงเครียดพื้นฐานในโลก decentralized finance ระหว่าง “ความสะดวก” กับ “ความปลอดภัย” ระบบ One-Time Approvals บังคับให้ผู้ใช้ต้องอนุมัติแต่ละทรานส์แอ็กชันทีละรายการ ลดพื้นผิวการโจมตีแบบถาวร แต่เพิ่มความฝืดสำหรับเทรดเดอร์ที่ทำธุรกรรมบ่อย ขณะที่การอนุมัติแบบไม่จำกัดให้ความรวดเร็วแลกกับการเปิดสิทธิ์ให้สัญญาอัจฉริยะเข้าถึงเงินของผู้ใช้อย่างต่อเนื่อง
ขณะนี้ SwapNet ยังไม่เผยแพร่รายงานวิเคราะห์เชิงเทคนิค (post-mortem) หรือระบุอย่างชัดเจนว่าผู้ใช้ที่ได้รับผลกระทบจะได้รับการชดเชยหรือไม่
วันเดียวกันนั้น ผู้ตรวจสอบความปลอดภัย Pashov พบการโจมตีแยกต่างหากบน Ethereum mainnet เกี่ยวข้องกับ WBTC (WBTC) ราว 37 เหรียญ คิดเป็นมูลค่ากว่า 3.1 ล้านดอลลาร์ ที่เชื่อมโยงกับสัญญาแบบ closed-source ที่ไม่ได้รับการยืนยันซึ่งถูก deploy เพียง 41 วันก่อนหน้า
ประมาณหนึ่งเดือนก่อนหน้า ชุมชน DeFi ก็เพิ่งช็อกกับเหตุแฮ็ก Trust Wallet
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen ผ่านอัปเดตส่วนขยายเบราว์เซอร์ที่ถูกเจาะ การละเมิดนี้กระทบเฉพาะส่วนขยาย Chrome เวอร์ชัน 2.68 ซึ่งปล่อยเมื่อวันที่ 24 ธ.ค. โชคดีที่ผู้ใช้แอปบนมือถือไม่ได้รับผลกระทบ Changpeng Zhao ผู้ก่อตั้ง Binance ซึ่งเป็นเจ้าของ Trust Wallet ระบุว่าจะชดเชยผู้ใช้ที่ได้รับผลกระทบทั้งหมด
Updated Jan. 27 to reflect corrected figures on user losses from the exploit, based on newly released data from Matcha.
Read Next: Why Are Whales Buying Seeker While Smart Money Sells?