ข้อตกลงทางการเงินแบบกระจายอำนาจ Rhea Finance ประสบปัญหาช่องโหว่ด้านความปลอดภัยครั้งใหญ่เมื่อวันที่ 16 เมษายน และบริษัทความปลอดภัยบนบล็อกเชน CertiK ประเมินว่ามีความเสียหายราว 7.6 ล้านดอลลาร์ ผู้โจมตีได้หลอกให้เกิดความเข้าใจผิดเกี่ยวกับออราเคิลและกลไกการตรวจสอบของข้อตกลง โดยสร้างสัญญาโทเค็นปลอมและนำเงินเข้าสู่พูลสภาพคล่องที่เพิ่งสร้างใหม่ ทำให้สามารถดึงเงินออกมาได้สำเร็จ CertiK ได้ระบุที่อยู่บนเชนที่เกี่ยวข้อง และการสืบสวนยังคงดำเนินอยู่
กลไกการโจมตี: การผสมผสานระหว่างสัญญาโทเค็นปลอมกับพูลสภาพคล่องเพื่อหลอกลวง
(แหล่งที่มา:NearBlocks)
จากการวิเคราะห์เบื้องต้นของ CertiK เส้นทางเชิงเทคนิคของการโจมตีครั้งนี้มี 2 ขั้นตอนสำคัญ ขั้นแรก ผู้โจมตีจะปรับใช้สัญญาโทเค็นปลอม จากนั้นจึงนำเงินเข้าสู่พูลสภาพคล่องที่เพิ่งสร้างใหม่ เพื่อสร้างภาพลวงตาว่าเกิด “กิจกรรมการซื้อขายปกติ” การกระทำนี้ทำให้เกิดการบิดเบือนต่อออราเคิลและชั้นการตรวจสอบที่ข้อตกลงของ Rhea Finance พึ่งพา ส่งผลให้ข้อตกลงประเมินมูลค่าทรัพย์สินผิดพลาด ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากส่วนต่างระหว่างมูลค่าที่ข้อตกลงรับรู้กับมูลค่าที่เป็นจริงเพื่อดึงเงินออกมาได้
การโจมตีที่บิดเบือนออราเคิลประเภทนี้เป็นภัยคุกคามด้านความปลอดภัยที่พบบ่อยซ้ำแล้วซ้ำเล่าในระบบนิเวศ DeFi โดยกลไกหลักคือการบิดเบือนการประเมินสถานะของทรัพย์สินของข้อตกลงด้วยสัญญาณสภาพคล่องที่มนุษย์สร้างขึ้นหรือข้อมูลราคาที่เป็นเท็จ เพื่อกระตุ้นตรรกะการทำธุรกรรมที่ไม่ควรเกิดขึ้น
ขนาดความเสียหาย: 7.6 ล้านคิดเป็นเกือบ 6% ของ TVL ของ Rhea Finance
CertiK ประเมินความเสียหายครั้งนี้อยู่ที่ราว 7.6 ล้านดอลลาร์ แต่เมื่อการวิเคราะห์บนเชนเชิงลึกมากขึ้น ตัวเลขดังกล่าวอาจมีการปรับเปลี่ยน ตามข้อมูลของ DefiLlama ตอนนี้ Rhea Finance ถือครองมูลค่ารวมที่ถูกล็อกไว้ (TVL) ประมาณ 128 ล้านดอลลาร์ ซึ่งหมายความว่าความเสียหายจากช่องโหว่ครั้งนี้คิดเป็นราว 6% ของสภาพคล่องรวมของแพลตฟอร์ม และเมื่อมองในเหตุการณ์ความปลอดภัยเพียงครั้งเดียว ถือว่าอยู่ในระดับปานกลางถึงค่อนข้างรุนแรง
หลังจากผู้โจมตีขโมยเงินแล้ว ได้เราเส้นทางสินทรัพย์ผ่านที่อยู่บนเชนหลายรายการ นี่คือวิธีการทำให้สับสนที่พบบ่อยหลังการโจมตีใน DeFi โดยมีเป้าหมายเพื่อทำให้การติดตามและการอายัดเงินในภายหลังทำได้ยากขึ้น
การเคลื่อนไหวของเงินบนเชนขนาดใหญ่ในวันเดียวกัน
ในวันเดียวกับเหตุการณ์ของ Rhea Finance บันทึกบนเชนได้มีการโอน BTC ขนาดใหญ่อีก 2 รายการที่ควรให้ความสนใจ:
รัฐบาลสหรัฐฯ: ฝาก BTC 8.2 เหรียญไปที่ Coinbase Prime (ประมาณ 606,000 ดอลลาร์) โดยสินทรัพย์เหล่านี้มาจากทรัพย์สินที่ถูกยึดที่เกี่ยวข้องกับเหตุการณ์แฮ็กของ Bitfinex
Abraxas Capital: ฝาก BTC 1,993 เหรียญไปที่ Kraken (ประมาณ 148 ล้านดอลลาร์) ซึ่งต่อยอดมาจากรูปแบบการซื้อขายบิตคอยน์ขนาดใหญ่ที่ดำเนินมาตั้งแต่ช่วงกลางเดือนมีนาคม
คำถามที่พบบ่อย
การโจมตีที่บิดเบือนออราเคิลคืออะไร และมันส่งผลต่อข้อตกลง DeFi อย่างไร?
ออราเคิลคือสื่อกลางที่ทำให้ข้อตกลง DeFi ได้ข้อมูลราคาแบบออฟเชนหรือบนเชน เมื่อผู้โจมตีป้อนข้อมูลที่บิดเบือนเข้าสู่ออราเคิลผ่านพูลสภาพคล่องที่ควบคุมด้วยมือหรือสัญญาโทเค็นปลอม ข้อตกลงอาจประเมินมูลค่าทรัพย์สินผิดพลาด และดำเนินการกู้ยืม การชำระบัญชี หรือการเก็งกำไรตามราคาที่คลาดเคลื่อน ทำให้ผู้โจมตีสามารถกดกำไรจากส่วนต่างได้โดยปราศจากความเสี่ยง นี่เป็นหนึ่งในวิธีการโจมตีที่พบบ่อยที่สุดและยังคงมีอยู่ในประวัติศาสตร์ของ DeFi
ความเสียหายครั้งนี้ของ Rhea Finance รุนแรงแค่ไหนเมื่อเทียบกับ TVL?
ความเสียหาย 7.6 ล้านดอลลาร์คิดเป็นประมาณ 5.9% ของ TVL ของ Rhea Finance ที่ราว 128 ล้านดอลลาร์ ซึ่งเป็นเหตุการณ์ด้านความปลอดภัยที่อยู่ในระดับปานกลางถึงค่อนข้างรุนแรง หากผู้โจมตียังโอนไม่เสร็จสิ้น เงินที่สูญเสียจริงอาจสูงกว่าการประเมินเบื้องต้นของ CertiK ขณะนี้แพลตฟอร์มยังคงทำงานอยู่ แต่ยังมีความเสี่ยงที่อาจดำเนินต่อเนื่อง
จนถึงตอนนี้ Rhea Finance ยังไม่ตอบกลับ ผู้ใช้ที่ถือครองสินทรัพย์ควรรับมืออย่างไร?
จนกว่าทีมของข้อตกลงจะออกการตอบกลับอย่างเป็นทางการหรือยืนยันว่าระบบได้ปิดกั้นช่องโหว่อย่างปลอดภัยแล้ว ผู้ใช้ที่ถือครองสินทรัพย์ของ Rhea Finance ควรประเมินว่าควรถอนสภาพคล่องเพื่อลดความเสี่ยงหรือไม่ ควรติดตามความคืบหน้าล่าสุดของเหตุการณ์บนเชนอย่างต่อเนื่องผ่านแพลตฟอร์มความปลอดภัยจากบุคคลที่สาม เช่น CertiK เพื่อหลีกเลี่ยงการฝากเงินใหม่ก่อนที่จะยืนยันการซ่อมแซมช่องโหว่อย่างครบถ้วน
btc.bar.articles
BIS เตือนว่าสเตเบิลคอยน์ที่กำหนดเป็นดอลลาร์สหรัฐอย่าง USDT และ USDC ก่อความเสี่ยงต่อเสถียรภาพทางการเงิน
ข้อความจาก Gate News วันที่ 21 เมษายน — ธนาคารเพื่อการชำระหนี้ระหว่างประเทศ (BIS) ได้ย้ำถึงความกังวลเกี่ยวกับสเตเบิลคอยน์ โดยผู้จัดการทั่วไป ปาโบล เอร์นานเดซ เด คอส (Pablo Hernandez de Cos) เตือนว่าสเตเบิลคอยน์ที่มีการกำหนดเป็นดอลลาร์สหรัฐ เช่น USDT และ USDC นั้นมีความเสี่ยงมากกว่าที่คนส่วนใหญ่มองกันโดยพื้นฐาน
คอสกล่าวว่า
GateNews9 นาที ที่แล้ว
ผู้ก่อตั้ง Curve Egorov วิจารณ์สถาปัตยกรรม DeFi หลัง $750M ขาดทุนในปีนี้
ข้อความจาก Gate News วันที่ 21 เมษายน — ผู้ฝากเงินใน DeFi ประสบปัญหาในการถอนเงินในช่วงสุดสัปดาห์ที่ผ่านมาในบรรดาโปรโตคอลหลักต่าง ๆ รวมถึง Aave, rsETH และ LayerZero ทำให้ผู้ก่อตั้ง Curve Finance อย่าง Michael Egorov ออกมาวิพากษ์สถาปัตยกรรมของอุตสาหกรรมต่อสาธารณะ "พวกเราเป็นอุตสาหกรรมของตัวตลกไหม?" Egorov
GateNews39 นาที ที่แล้ว
Arbitrum Security Council แช่แข็ง 30,766 ETH จากการเอ็กซ์พลอยต์ของ KelpDAO โดย 9 จาก 12 สมาชิกลงคะแนนเห็นด้วย
Arbitrum ได้แช่แข็ง 30,766 ETH จากการแฮ็กของ KelpDAO ทำงานร่วมกับหน่วยงานบังคับใช้กฎหมาย และกู้คืนได้ราวหนึ่งในสี่ของสินทรัพย์ ขณะเดียวกันก็ล็อกเงินทุนไว้จนกว่ากระบวนการกำกับดูแลจะมีข้อสรุป ท่ามกลางการถกเถียงเรื่องความเป็นกระจายศูนย์เทียบกับความปลอดภัย
บทคัดย่อ: บทความนี้รายงานว่า Arbitrum Security Council ได้แช่แข็ง 30,766 ETH (about $70 million) ที่เชื่อมโยงกับการแสวงหาประโยชน์จาก KelpDAO โดยมี 9 จาก 12 เสียง และได้ย้ายเงินไปยังกระเป๋าเงินที่ปลอดภัย โดยประสานงานกับหน่วยงานบังคับใช้กฎหมาย การปฏิบัติการมุ่งเป้าไปที่สินทรัพย์ที่ได้รับผลกระทบเท่านั้นเพื่อให้เกิดการรบกวนเครือข่ายน้อยที่สุด ผู้กระทำการที่เจาะระบบคาดว่าสังกัด DPRK การรั่วไหลเริ่มขึ้นเมื่อวันที่ 18 เมษายน ผ่านบริดจ์ที่ขับเคลื่อนด้วย LayerZero โดยได้ระบาย 116,500 rsETH (~$292 million) ประมาณหนึ่งในสี่ของสินทรัพย์ที่ถูกขโมยได้รับการกู้คืน เงินทุนที่ถูกแช่แข็งจะยังคงถูกล็อกไว้จนกว่าการกำกับดูแลและหน่วยงานด้านกฎหมายจะตัดสินใจขั้นตอนถัดไป ซึ่งจุดชนวนให้เกิดการถกเถียงระหว่างความเป็นกระจายศูนย์กับความปลอดภัย.
GateNews1 ชั่วโมง ที่แล้ว
มิจฉาชีพแอบอ้างเป็นหน่วยงานของอิหร่านเพื่อรีดไถเจ้าของเรือที่ติดค้างด้วย Bitcoin และ Tether
ข้อความจาก Gate News วันที่ 21 เมษายน — ผู้ไม่หวังดีส่งข้อความปลอมไปยังบริษัทเดินเรือ โดยมีเรือที่ติดค้างอยู่ทางตะวันตกของช่องแคบฮอร์มุซ อ้างว่าเป็นหน่วยงานของอิหร่าน และเสนอทางผ่านอย่างปลอดภัยแลกกับค่าธรรมเนียมที่ชำระเป็น Bitcoin หรือ Tether ตามรายงานของบริษัทความเสี่ยง MARISKS ของกรีซ ข้อความดังกล่าวระบุว่า
GateNews2 ชั่วโมง ที่แล้ว
อัปเดตเหตุการณ์ Aave rsETH: Core V3 WETH ถูกปลดการแช่แข็งแล้ว ขณะที่เงินสำรองในห้าตลาดหลักยังคงถูกแช่แข็ง
Aave เมื่อวันที่ 21 เมษายน ได้ประกาศบนแพลตฟอร์ม X ว่าเงินสำรอง WETH ในตลาด Ethereum Core V3 ถูกปลดการล็อกแล้ว ผู้ใช้สามารถกลับมาจัดหา WETH ให้กับ Ethereum Core V3 ได้อีกครั้ง อัตราส่วนมูลค่าเงินกู้ต่อมูลัก (LTV) ของ WETH ยังคงอยู่ที่ 0 เงินสำรอง WETH บน Ethereum Prime, Arbitrum, Base, Mantle และ Linea ยังคงถูกล็อกอยู่
MarketWhisper3 ชั่วโมง ที่แล้ว
หญิงชาวฮ่องกงเสียเงิน 7.7 ล้านดอลลาร์ฮ่องกงในคริปโต หลังหลงเชื่อการหลอกลวงเทรดดิ้งด้วย AI
หญิงชาวฮ่องกงสูญเงิน 7.7 ล้านดอลลาร์ฮ่องกงให้กับคนร้ายที่แอบอ้างเป็นผู้เชี่ยวชาญด้านการลงทุนบน Telegram โดยหลอกให้เชื่อว่าจะได้ผลตอบแทนสูงพร้อมความเสี่ยงต่ำ หลังโอนเงินหลายครั้ง เธอไม่สามารถถอนเงินได้ จึงเผยว่าเป็นการฉ้อโกง ตำรวจเตือนประชาชนไม่ให้ตกเป็นเหยื่อของการหลอกลวงลักษณะนี้
GateNews3 ชั่วโมง ที่แล้ว
