BeInCrypto - SushiSwap ซึ่งเป็น Decentralized exchange (DEX) กลายเป็นเหยื่อรายล่าสุดจากการโจมตี DeFi ทำให้ผู้ใช้งานรายหนึ่งเสียหายอย่างน้อย 3.3 ล้านดอลลาร์สหรัฐฯ
บริษัทรักษาความปลอดภัยบล็อกเชน Peckshield รายงานว่าช่องโหว่ดังกล่าวเกิดจากข้อผิดพลาดที่เกี่ยวข้องกับการอนุมัติในสัญญา RouterProcessor2 เพื่อป้องกันการเสียหายเพิ่มเติม บริษัทแนะนำให้ผู้ใช้งานยกเลิกการอนุญาตในสัญญา
Peckshield เสริมว่าสัญญาที่ถูกโจมตีถูกนำไปใช้ในเครือข่ายต่าง ๆ เช่นกัน อาทิ Ethereum, BSC, Polygon, Fantom และ Avalanche เป็นต้น
SushiSwap ยืนยันการโจมตี
Jared Grey ผู้อำนวยการ SushiSwap ยืนยันเหตุดังกล่าวและแนะนำให้ผู้ใช้งานยกเลิกเชนต่าง ๆ เขาเสริมว่าโปรโตคอลดังกล่าวยังทำงานอยู่ โดยทีมรักษาความปลอดภัยพยายามแก้ไขปัญหา
ยังไม่แน่ใจว่ามีผู้ใช้งานกี่รายที่ได้รับผลกระทบจากการแฮ็กครั้งนี้ แต่ Peckshield ระบุว่ามีผู้ใช้งานหนึ่งราย คือ OxSifu ซึ่งเสียหาย 1,8000 ETH คิดมูลค่าเป็น 3.3 ล้านดอลลาร์สหรัฐฯ
SushiSwap Exploit. Source: PeckShield
White Hat Hacker รายหนึ่งซึ่งค้นพบบั๊กตัวดังกล่าวนำ 100 ETH ออกจากวอลเล็ตของ OxSifu เพื่อจะแก้ไขบั๊กตัวดังกล่าว แต่ White Hat Hacker รายอื่น ๆ รีบเข้าใช้งานสัญญาข้างต้นและเริ่มโจมตีซ้ำ ผู้ใช้งานหลาย ๆ คนเริ่มรายงานว่าพวกเขาได้รับความเสียหาย
SushiSwap โดนโจมตีอย่างไร
Ancilla ซึ่งเป็นบริษัทด้านความปลอดภัยไซเบอร์ อธิบายเหตุการณ์ที่เกิดขึ้นเชิงเทคนิค ความว่า
“ที่มาของปัญหาคือฟังก์ชัน Internal Swap ซึ่งจะเรียกตัว swapUniV3() ซึ่งตั้งตัวแปร “lastCalledPool” ซึ่งอยู่ใน Storage Slot 0x00 หลังจากนั้น ในฟังก์ชัน Swap3Callback นั้น ตัวตรวจสอบการอนุญาตโดนบายพาส”
ข้อมูลจากนักพัฒนาของ DeFillama นามว่า 0xngmi ผู้ใช้งานรายต่าง ๆ น่าจะได้รับผลกระทบจากการอนุมัติบน SushiSwap ในช่วงสองสัปดาห์ที่ผ่านมา เนื่องจากสัญญาถูกใช้งานบนเชนบางเชนเป็นระยะถึงสองสัปดาห์ ดังนั้น การแก้ไขที่ดีที่สุดคือการยกเลิกทุกการอนุมัติ
นักพัฒนาบางรายยังสร้างเครื่องมือซึ่งอนุญาตให้ผู้ใช้งานค้นหาแอดเดรสของตนเองเพื่อดูว่าแอดเดรสของตนได้รับผลกระทบหรือไม่
นอกจากนี้ การโจมตีดังกล่าวยังแสดงให้เห็นจุดอ่อนของระบบนิเวศ DeFi อีกหลายประการ แม้ปี 2023 จะถือว่าไม่ค่อยมีการแฮ็กเกิดขึ้นบ่อยครั้ง ทั้งนี้ ผู้ใช้งานหนึ่งรายแสดงความโกรธเกรี้ยว โดยโพสต์ข้อความบน Twitter โดยกล่าวว่า “เอาโทเค็นฉันไปเลย น่าเหนื่อยหน่ายใจจริง ๆ”
ราคา SUSHI ลดลง 6%
หลังจากข่าวเรื่องการโจมตีแพร่สะพัด ราคา SUSHI ลดลง 6% ในช่วง 24 ชั่วโมงที่ผ่านมา เหลือ 1.07 ดอลลาร์สหรัฐฯ ในขณะที่เขียนข่าวต้นฉบับ ตามข้อมูลของ BeInCrypto
Sushi Price Performance (Source: BeInCrypto)
ในช่วงต้นสัปดาห์ที่ผ่านมา Grey ชี้ว่าการทำ Cross-chain Swap (xSwap) ใน DEX มีปริมาณเพิ่มขึ้นอย่างมีนัยสำคัญ
BeInCrypto รายงานว่า DAO กลายเป็นเป้าหมายใหม่โดย United States Securities and Exchange Commission (SEC) โดยเผยว่า DAO กำลังหาทางป้องกันตนเองในเชิงกฎหมายเพื่อครอบคลุมค่าใช้จ่ายในกระบวนการทางกฎหมายสำหรับผู้เล่นหลักในอุตสาหกรรม DAO