BadgerDAO บริการ DeFi สำหรับฟาร์มเงิน รายงานว่าเงินผู้ใช้ถูกถอนโดยไม่ได้รับอนุญาต และตอนนี้ยังไม่แน่ชัดว่าคนร้ายถอนเงินออกไปได้อย่างไร หรือมูลค่าเงินที่ถูกขโมยเงินออกไปเป็นมูลค่าเท่าใด แต่บริษัทวิเคราะห์บล็อคเชน PeckShield ออกมารายงานว่ามูลค่ารวมน่าจะอยู่ที่ 2,100 BTC กับอีก 151 ETH รวมมูลค่าประมาณ 120 ล้านดอลลาร์หรือประมาณ 4,000 ล้านบาท
ตอนนี้ทาง BadgerDAO ยังไม่ระบุว่าช่องโหว่ที่คนร้ายโจมตีนั้นใช่ช่องทางใด แต่ทีมงานก็บอกกับผู้ใช้ว่ากำลังสงสัยว่าคนร้ายแฮกมาทางหน้าเว็บ ไม่ใช่ตัว smart contract โดยตรง และตอนนี้กำลังทำงานร่วมกับ Chainslysis เพื่อสอบสวนเหตุการณ์
ระหว่างนี้ BadgerDAO หยุดการทำงานของ smart contract ไปทั้งหมดเพื่อสอบสวนปัญหา หน้าเว็บของ Badger ระบุว่ามีทรัพย์สินอยู่รวมกว่าพันล้านดอลลาร์
ที่มา - The Verge
Comments
ต้องมีใครรับผิดชอบไหมนี่
มีใครรับผิดชอบไหม หายไปเยอะมาก
จากที่ตามไปอ่านต้นทางมาถ้าเข้าใจไม่ผิด
ตัว bagger รันบนเชน etherium
แล้ว etherium ใช้กระเป๋า metamask เป็นหลัก
ซึ่งกระเป๋า metamask เนี่ยเป็นกระเป๋ายอดนิยมก็มีความเสี่ยงที่จะถูกแฮคมากๆ
ปัญหาก็มาจากการโดนฝังมัลแวร์สปายแวร์นี่แหละ
เพราะมันยังต้องใช้เทคโนโลยี web2.0 อยู่
เคสนี้ถ้าใช้ hw wallet ก็รอด
ถ้าจาก post-mortem analysis อย่างไม่เป็นทางการตอนนี้ การแฮกเกิดขึ้นในส่วนของ frontend โดยเป็นการแอบเพิ่ม approval ที่ให้สิทธิ์ในการโอนไปยัง wallet ของผู้โจมตี
โดยปกติเวลาใช้งานหากมีการเรียกใช้ฟังก์ชัน approval มา ผู้ใช้งานสามารถเลือกยอมรับ ปฏิเสธหรือแก้ไขพารามิเตอร์ต่างๆ ได้ กระบวนในลักษณะนี้เกิดขึ้นทั้งไม่ว่าจะใช้ wallet แบบไหน หากมีการ approval มาใหม่ ผู้ใช้งานมีหน้าที่ที่จะต้องตรวจสอบการร้องขอและพิจารณาด้วยตัวเองอยู่ดี
แก้ให้ auto approve ก็ได้ด้วย
ฟังชั่นนี้มันร้ายแรงมากเลยนะ
ทำให้สงสัยต่อว่าการ enable ฟังชั่นมันไม่ต้องขอการยืนจากมนุษย์ก่อนเลยหรือ
แล้วส่วนนี้มันถูก implement ไว้ที่ dApp?
ไม่ใช่ที่กระเป๋าใช่ไหม
Decentralized Finance ที่พยายามหนีอำนาจการควบคุมจากรัฐ มันได้รับการคุ้มครองจากรัฐมั้ยครับ
ไม่
ต้องถามว่าหาความคุ้มครองแบบไหน
lewcpe.com, @wasonliw
ขอบคุณครับ
Decentralized ยังไง สุดท้ายในระบบก็ต้องมีบางส่วนที่เป็น Centralize อยู่ดี