เหตุการณ์ที่น่าตื่นเต้นบน Venus Protocol ส่งผลให้สูญเสียทรัพย์สินมูลค่าเกือบ 30 ล้าน USD
ในขณะที่หลายคนสงสัยว่าเป็นการแฮ็ก นักวิเคราะห์ความปลอดภัยบล็อกเชนที่ Cyvers ยืนยันกับ BeInCrypto ว่านี่เป็นความผิดพลาดจากฝั่งผู้ใช้ ไม่ใช่ช่องโหว่ในโปรโตคอลเอง
การหลอกลวง Phishing ทำให้ผู้ใช้ Venus Protocol เสียเงิน 30 ล้าน USD ไม่ใช่การแฮ็กโปรโตคอล
SponsoredPeckShield เป็นผู้แจ้งเตือนกิจกรรมที่น่าสงสัย โดยระบุว่าผู้ใช้ Venus Protocol ถูกหลอกลวงและสูญเสียประมาณ 27 ล้าน USD จากการตกเป็นเหยื่อของการหลอกลวงแบบฟิชชิ่ง
ผู้โจมตีเข้าถึงได้โดยการหลอกให้เหยื่ออนุมัติธุรกรรมที่เป็นอันตราย ซึ่งให้สิทธิ์ไม่จำกัดในการโอนทรัพย์สินจากกระเป๋าเงิน
โทเค็นที่ถูกขโมยรวมถึง vUSDT ประมาณ 19.8 ล้าน USD, vUSDC 7.15 ล้าน USD, vXRP 146,000 USD, vETH 22,000 USD และแม้กระทั่ง 285 BTCB ซึ่งผู้สังเกตการณ์อธิบายว่าเป็นความมั่งคั่งที่สืบทอดกันมา
นักวิเคราะห์ Defi Ignas ยังได้แสดงความคิดเห็น โดยระบุว่า Venus เองทำงานตามที่ตั้งใจไว้ และเหตุการณ์นี้เกิดจากผู้โจมตีใช้ประโยชน์จากการอนุมัติที่ได้รับล่วงหน้าจากกระเป๋าเงินที่ถูกโจมตี
“การอนุมัติที่ไม่ดีเพียงครั้งเดียวและบูม—คุณเสร็จแล้ว นั่นคือด้านมืดของ DeFi: การอนุมัติแบบเปิดมีพลัง แต่ก็อันตรายหากคุณไม่ระวัง” เขียนนักวิเคราะห์ Crypto Jargon
ความรู้สึกนี้สะท้อนทั่วชุมชนเมื่อคำเตือนกลับมาอีกครั้ง แนวทางปฏิบัติที่ดีที่สุดรวมถึงการเพิกถอนการอนุมัติเป็นประจำ หลีกเลี่ยงลิงก์ที่ไม่ได้รับการยืนยัน และใช้กระเป๋าเงินฮาร์ดแวร์แทนการพึ่งพากระเป๋าเงินร้อนเพียงอย่างเดียว
Sponsored SponsoredCyvers ยืนยันสิ่งนี้ในแถลงการณ์ต่อ BeInCrypto:
“ใช่ ความผิดพลาดจากฝั่งผู้ใช้ไม่ใช่ที่ระดับโปรโตคอล” Cyvers กล่าว
เงินที่ถูกขโมยยังคงไม่ได้ถูกแลกเปลี่ยน ยังคงอยู่ในที่อยู่สัญญาของผู้โจมตี
“เหตุการณ์นี้แสดงให้เห็นว่าผู้ใช้ DeFi ที่มีประสบการณ์ยังคงเสี่ยงต่อการหลอกลวงแบบฟิชชิ่งที่ซับซ้อน โดยการหลอกให้เหยื่ออนุมัติการใช้โทเค็น ผู้โจมตีสามารถดึงเงิน 27 ล้าน USD จาก Venus Protocol ในธุรกรรมเดียว” Hakan Unal หัวหน้าฝ่ายปฏิบัติการความปลอดภัยอาวุโสที่ Cyvers กล่าว
Bunni DEX ถูกเจาะระบบ สูญเสีย 8.4 ล้าน USD
ในเหตุการณ์แยกต่างหาก Bunni ซึ่งเป็น การแลกเปลี่ยนแบบกระจายศูนย์ (DEX) ที่สร้างบน Uniswap v4 ประสบกับการโจมตีที่ทำให้สูญเสียกว่า 8.4 ล้าน USD ใน Ethereum และ UniChain
Sponsoredต่างจากกรณีของ Venus นี่เป็นช่องโหว่ที่แท้จริงในระดับโปรโตคอล
Bunni ประกาศว่าหยุดการทำงานของ smart contract ทั้งหมดในทุกเครือข่ายขณะที่ทีมงานกำลังตรวจสอบ:
แอป Bunni ได้รับผลกระทบจากการโจมตีด้านความปลอดภัย เพื่อความปลอดภัย เราได้หยุดการทำงานของ smart contract ทั้งหมดในทุกเครือข่ายแล้ว เครือข่าย ยืนยัน
ตามข้อมูลจาก GoPlus Security การโจมตี เกิดขึ้นจากจุดอ่อนในฟังก์ชันการกระจายสภาพคล่องแบบกำหนดเองของ Bunni (LDF)
Victor Tran นักพัฒนา blockchain อธิบายว่าผู้โจมตีได้ปรับเปลี่ยน curve ด้วยการซื้อขายที่มีขนาดพอดี
โดยการกระตุ้นการคำนวณผิดพลาดซ้ำๆ ระหว่างการปรับสมดุลสภาพคล่อง ผู้โจมตีสามารถถอน token ได้มากกว่าที่ควรจะเป็น ทำให้ pool ว่างเปล่าก่อนที่จะสรุปการโจมตีด้วยขั้นตอนการแลกเปลี่ยนสองขั้นตอน
Tran เน้นย้ำว่าแม้ hook ของ Bunni จะถูกโจมตี แต่ Uniswap v4 เองยังคงไม่ได้รับผลกระทบ
เหตุการณ์ทั้งสองนี้เน้นถึงความสมดุลที่เปราะบางระหว่างนวัตกรรมและความปลอดภัยใน การเงินแบบกระจายศูนย์ (DeFi)
การสูญเสียของ Venus Protocol เน้นถึงปัจจัยมนุษย์ที่การคลิกเพียงครั้งเดียวสามารถลบล้างทรัพย์สินได้ ในขณะที่การโจมตีของ Bunni เผยให้เห็นว่าข้อบกพร่องในความแม่นยำของกลไกใหม่สามารถเปิดเผยสภาพคล่องได้
ในตลาดที่มีมูลค่าหลายพันล้าน USD ความผิดพลาดเพียงครั้งเดียว ไม่ว่าจะเป็นจากมนุษย์หรือเทคนิค สามารถสร้างความเสียหายได้
ดังนั้น เมื่อภาค DeFi ขยายตัว การศึกษาและความเข้มงวดของโปรโตคอลจะยังคงมีความสำคัญ
