🟩 สมัครเทรด #ค่าเงิน #ทองคำ สนับสนุน THAIFRX.COM คลิกที่ลิ้งค์นี้ https://one.exnessonelink.com/a/se21a7h0
ประเด็นสำคัญ:
- ประมาณ 3.2 ล้านเหรียญสหรัฐถูกดูดออกจากทั้งเครือข่าย Ethereum และ Base โดยใช้การใช้ประโยชน์จากโมดูล Safe ของบุคคลที่สาม
- ผู้โจมตีใช้ประโยชน์จากกระเป๋าเงิน Safe 86 ใบและแลกเป็น DAI
- Squid ยืนยันว่าโปรโตคอลหลัก สัญญาเราเตอร์ไม่ได้รับผลกระทบ
การใช้ประโยชน์ที่เป็นไปได้ในโมดูลกระเป๋าเงินของบุคคลที่สามทำให้สินทรัพย์ Safe ของบริษัทหมดลงในช่วงไม่กี่ชั่วโมงที่ผ่านมา ส่งผลให้ผู้ใช้ทุกคนสูญเสียเงินหลายล้านดอลลาร์ ช่องโหว่ในแอปกระเป๋าเงินของบุคคลที่สามทำให้เกิดการแฮ็กอย่างเร่งรีบซึ่งก่อให้เกิดความสูญเสียอย่างมากต่อผู้ใช้บัญชี Safe ทั่วทั้ง Ethereum และ Base chain โดยสูญเสียเงินหลายล้านดอลลาร์ภายในไม่กี่ชั่วโมง
ผู้โจมตีใช้ประโยชน์จากสิทธิ์ภายในของโมดูลเพื่อดำเนินการแลกเปลี่ยนโทเค็นโดยไม่ได้รับอนุญาต และส่งผลกำไรไปยัง Stablecoins นักวิจัยด้านความปลอดภัยกล่าว
กระเป๋าเงินที่ปลอดภัย 86 ใบถูกโจมตีแบบประสานงาน
บริษัทรักษาความปลอดภัยบล็อคเชน Blockaid รายงานแล้ว ผู้โจมตีกำหนดเป้าหมายสัญญาที่เรียกว่า SquidRouterโมดูลส่งผลกระทบต่อกระเป๋าเงิน Safe อย่างน้อย 86 ใบในเวลาประมาณสองชั่วโมง ทรัพย์สินที่ถูกขโมยถูกแลกเปลี่ยนทันทีผ่านพูล Uniswap V3 ที่ผู้โจมตีควบคุมโดยผู้โจมตี ก่อนที่จะถูกรวมเป็น DAI มูลค่าประมาณ 3.07 ล้านดอลลาร์
Blockaid ตรวจพบช่องโหว่อย่างต่อเนื่องโดยกำหนดเป้าหมายไปที่ SquidRouterModule บน Ethereum และ Base
ตู้เซฟ Gnosis 86 ตู้ใช้หมดไปประมาณ 3 ล้านเหรียญสหรัฐใน ~2 ชั่วโมง
โทเค็นที่ถูกขโมยทั้งหมดจะสลับเป็น DAI ผ่านพูล Uniswap V3 ที่ผู้โจมตีควบคุม
รายละเอียดเพิ่มเติมใน— Blockaid (@blockaid_) 25 พฤษภาคม 2569
จากการตรวจสอบพบว่าช่องโหว่ดังกล่าวน่าจะเกิดจากข้อบกพร่องในฟังก์ชันExecuteSameChainActions() ของโมดูล ตามที่ผู้โจมตีระบุ พวกเขาใช้สัญญาการหาประโยชน์แบบกำหนดเองเพื่อใช้ประโยชน์จากกลไก DelegateBundler ของโมดูล ทำให้พวกเขาสามารถทำธุรกรรมจากกระเป๋าเงินของเหยื่อโดยแกล้งทำเป็นผู้รับมอบสิทธิ์ที่ได้รับอนุญาต
เมื่อได้รับการเข้าถึงแล้ว ทรัพย์สินจากแต่ละ Safe จะถูกแลกเปลี่ยนเป็นโทเค็นที่เกือบจะไร้ค่าที่เรียกว่า “คุณ”ซึ่งมีกิจกรรมทางการตลาดน้อยและมีผู้ถือครองจำนวนไม่มากนัก
อ่านเพิ่มเติม: การแฮ็ก Ethereum มูลค่า 5.87 ล้านเหรียญสหรัฐ ทำลายปริมาณที่เชื่อถือได้ เนื่องจาก 1inch ปฏิเสธการละเมิดความปลอดภัยใด ๆ
Swap Scheme ทำงานอย่างไร
นักวิจัยเชื่อว่าผู้โจมตีสร้างและให้เงินทุนแก่กลุ่มสภาพคล่อง Uniswap V3 โดยจับคู่โทเค็นปลอมกับสินทรัพย์ crypto ที่ถูกกฎหมาย กองทุนของเหยื่อถูกสลับไปเป็นโทเค็นที่ผู้โจมตีควบคุม ทำให้ผู้โจมตีสามารถดึงทรัพย์สินอันมีค่าออกมาได้ ในขณะที่กระเป๋าเงินก็เก็บโทเค็นไร้ค่าไว้อย่างมีประสิทธิภาพ
ปลาหมึกอยู่ห่างจากสัญญาที่ถูกเอารัดเอาเปรียบ
เหตุการณ์ดังกล่าวก่อให้เกิดความสับสนตั้งแต่แรก เนื่องจากสัญญาที่ถูกประนีประนอมนั้นมีชื่อว่า “SquidRouterModule” แต่โปรโตคอลแบบข้ามสายโซ่ปลาหมึก พูดว่า สัญญาที่ได้รับผลกระทบนั้นจัดทำโดยบุคคลอื่น และไม่ได้ได้รับการพัฒนา ใช้งาน หรือดำเนินการโดยทีมงาน
ข้อบกพร่องด้านการออกแบบที่ทำให้การใช้ประโยชน์เป็นไปได้ ตามข้อมูลของ Squid นั้นมาจากโมดูลกระเป๋าเงินอัจฉริยะของบุคคลที่สาม ซึ่งสันนิษฐานว่าสตริงคงที่ที่เปิดเผยต่อสาธารณะนั้นเพียงพอที่จะสื่อว่ามีบางสิ่งที่ปลอดภัย
อ่านเพิ่มเติม: การแฮ็ก KelpDAO มูลค่า 290 ล้านเหรียญสหรัฐเผยให้เห็นข้อบกพร่องในการตั้งค่า LayerZero ที่ร้ายแรง Lazarus สงสัยว่า
Safe Labs เน้นคำเตือนด้านความปลอดภัยที่มีอยู่
ราหุล รูมัลลา ซีอีโอของ Safe Labs พูดว่า การค้นพบเบื้องต้นชี้ให้เห็นว่าบัญชีที่ได้รับผลกระทบไม่ได้ดำเนินการผ่านผลิตภัณฑ์ Safe Wallet อย่างเป็นทางการ Rumalla ยังเปิดเผยว่าโมดูลที่ถูกบุกรุกก่อนหน้านี้ถูกระบุว่าเป็นอันตรายโดย Blockaid และรวมอยู่ในกรอบการตรวจจับความเสี่ยงของ Safe Shield
เหตุการณ์นี้เป็นเครื่องเตือนใจถึงช่องโหว่ของส่วนขยายกระเป๋าเงินภายนอกที่เพิ่มขึ้น โดยเฉพาะอย่างยิ่งเมื่อได้รับอำนาจในการดำเนินการอย่างกว้างขวางกับทรัพย์สินของผู้ใช้ การโจมตีดังกล่าวเป็นการเตือนใจว่าการรักษาความปลอดภัยของกระเป๋าเงินอัจฉริยะนั้นไม่ได้เกี่ยวกับกระเป๋าเงินอัจฉริยะเท่านั้น แต่ยังเกี่ยวกับทุกโมดูลและการบูรณาการที่เชื่อมต่อด้วย
ตรวจสอบต่อไป CryptoNinjas.net สำหรับแหล่งข่าว crypto ที่ทันสมัยและการวิจัยที่ขับเคลื่อนด้วยข้อมูลเกี่ยวกับสินทรัพย์ดิจิทัลและการยอมรับบล็อคเชน
🟩 สมัครเทรด #ค่าเงิน #ทองคำ สนับสนุน THAIFRX.COM คลิกที่ลิ้งค์นี้ https://one.exnessonelink.com/a/se21a7h0
Source link
