SwapNet สูญเสียเงิน 16.8 ล้านดอลลาร์จากการโจมตีสัญญาอัจฉริยะ

SwapNet ซึ่งเป็นตัวรวบรวมคำสั่งซื้อสำหรับกระดานเทรดแบบกระจายอำนาจ สูญเสียสินทรัพย์คริปโตราว 16.8 ล้านดอลลาร์ หลังจากผู้โจมตีใช้ช่องโหว่ของสัญญา router ที่ถูกเจาะ ซึ่งได้รับการอนุมัติให้ใช้โทเคนแบบต่อเนื่องจากผู้ใช้ที่ปิดฟีเจอร์ ด้านความปลอดภัยสำคัญ

เกิดอะไรขึ้น: การโจมตีตัวรวบรวม DEX

บริษัทด้านความปลอดภัย PeckShield reported การโจมตีที่มุ่งเป้ากิจกรรมที่เชื่อมโยงกับ SwapNet ซึ่งเข้าถึงได้ผ่าน Matcha Meta ตัวรวบรวม DEX แบบ meta ที่พัฒนาโดยทีม 0x ช่องโหว่นี้กระทบกับผู้ใช้ที่เลือกไม่ใช้ระบบ One-Time Approval ของ 0x และให้สิทธิ์โดยตรงกับสัญญาตัวรวบรวมเบื้องหลัง

บนเครือข่าย Base ผู้โจมตีแปลง USDC ประมาณ 10.5 ล้านดอลลาร์ เป็น Ether ประมาณ 3,655 ETH ก่อนจะ bridge เงินไปยังเครือข่าย Ethereum (ETH)

วิธีการดังกล่าวเป็นแท็กติกที่ใช้กันบ่อยเพื่อทำให้การติดตามเส้นทางเงินซับซ้อนขึ้น

“เราทราบถึงเหตุการณ์ที่เกิดกับ SwapNet ซึ่งผู้ใช้อาจได้รับผลกระทบบน Matcha Meta สำหรับผู้ที่ปิด One-Time Approvals” Matcha Meta ระบุในแถลงการณ์ แพลตฟอร์มได้ระบุว่าสัญญา router ของ SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) เป็นการอนุมัติที่เร่งด่วนที่สุดที่ผู้ใช้ควรเพิกถอน

Also Read: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack

ทำไมจึงสำคัญ: ช่องโหว่ DeFi ที่ยังคงอยู่

เหตุการณ์นี้ตอกย้ำถึงความตึงเครียดพื้นฐานในโลกการเงินแบบกระจายอำนาจระหว่าง “ความสะดวก” กับ “ความปลอดภัย” One-Time Approvals บังคับให้ผู้ใช้ต้องอนุมัติธุรกรรมแต่ละครั้ง ช่วยลดพื้นผิวการโจมตีแบบถาวร แต่เพิ่มความยุ่งยากให้เทรดเดอร์สายถี่ ขณะที่การอนุมัติแบบไม่จำกัดช่วยให้ทำธุรกรรมได้รวดเร็ว แต่แลกกับการให้สิทธิ์สัญญาอัจฉริยะเข้าถึงเงินผู้ใช้แบบต่อเนื่อง

ขณะนี้ SwapNet ยังไม่ได้เผยแพร่รายงานวิเคราะห์ทางเทคนิค (post-mortem) หรือระบุอย่างชัดเจนว่าผู้ใช้ที่ได้รับผลกระทบ จะได้รับการชดเชยหรือไม่

ในวันเดียวกัน ผู้ตรวจสอบความปลอดภัย Pashov ยังตรวจพบการโจมตีสัญญาบน Ethereum mainnet แยกต่างหาก ที่เกี่ยวข้องกับ WBTC ประมาณ 37 เหรียญ คิดเป็นมูลค่ากว่า 3.1 ล้านดอลลาร์ ซึ่งเชื่อมโยงกับสัญญาปิดซอร์สที่ไม่ได้รับการยืนยัน และเพิ่งถูก deploy เมื่อ 41 วันที่แล้ว

ราวหนึ่งเดือนก่อนหน้า ชุมชน DeFi ก็เพิ่งช็อกจากเหตุแฮ็ก Trust Wallet

Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen ผ่านอัปเดตส่วนขยายเบราว์เซอร์ที่ถูกเจาะ การละเมิดดังกล่าวส่งผลกระทบเฉพาะเวอร์ชัน 2.68 ของส่วนขยาย Chrome ซึ่งปล่อยเมื่อวันที่ 24 ธันวาคม โชคดีที่ผู้ใช้บนมือถือไม่ได้รับผลกระทบ Changpeng Zhao ผู้ก่อตั้ง Binance ซึ่งเป็นเจ้าของ Trust Wallet ระบุว่ากระเป๋าเงินจะชดเชยผู้ใช้ที่ได้รับผลกระทบทั้งหมด

Read Next: Why Are Whales Buying Seeker While Smart Money Sells?