เซฟไม่อยากรับผิดต่ออุบัติเหตุด้านความปลอดภัยครั้งใหญ่ที่สุดในประวัติศาสตร์

avatar
Asher
1อาทิตย์ก่อน
ประมาณ 5857คำ,ใช้เวลาอ่านบทความฉบับเต็มประมาณ 8นาที
Bybit ชี้ให้เห็นว่า Safe มีช่องโหว่ แต่ Safe ยืนกรานว่าไม่มีปัญหาอะไร ใครควรเป็นผู้รับผิดชอบด้านความปลอดภัยเบื้องหลังเรื่องนี้?

ต้นฉบับ | Odaily Planet Daily ( @OdailyChina )

ผู้แต่ง | แอชเชอร์ ( @Asher_0210 )

เซฟไม่อยากรับผิดต่ออุบัติเหตุด้านความปลอดภัยครั้งใหญ่ที่สุดในประวัติศาสตร์

เมื่อคืนนี้ Ben Zhou ผู้ก่อตั้งร่วมและซีอีโอของ Bybit ได้เผยแพร่รายงานการตรวจสอบนิติเวชของแฮกเกอร์ที่จัดทำโดย Sygnia และ Verichains บนแพลตฟอร์ม X ซึ่งเปิดเผยว่าการขโมยเงินนั้นเกิดจากช่องโหว่ในโครงสร้างพื้นฐานของ Safe นอกจากนี้ โค้ดที่เป็นอันตรายยังถูกนำไปใช้งานเมื่อเวลา 15:29:25 UTC ของวันที่ 19 กุมภาพันธ์ โดยมุ่งเป้าไปที่กระเป๋าเงินเย็น Ethereum หลายลายเซ็นของ Bybit โดยเฉพาะ ข่าวนี้ส่งผลให้ราคาหุ้น SAFE ร่วงลงมากกว่า 10% ในช่วงเวลาสั้นๆ โดยราคาเริ่มร่วงจาก 0.5 ดอลลาร์สหรัฐ และร่วงลงมาต่ำกว่า 0.44 ดอลลาร์สหรัฐในช่วงสั้นๆ

ต่อไปนี้ Odaily Planet Daily จะคัดแยกการตอบสนองของทีมงาน Safe และความคิดเห็นของชุมชน หลังจากที่ Bybit ชี้ให้เห็นว่า Safe มีช่องโหว่

การแนะนำโครงการที่ปลอดภัย

โครงการก่อนหน้าของ Safe มีชื่อว่า Gnosis Safe เดิมทีโครงการนี้เป็นเพียงเครื่องมือลายเซ็นหลายรายการสำหรับผู้ใช้ทีม Gnosis เพื่อจัดการเงินทุน ICO แต่ในภายหลังทีมได้ตัดสินใจที่จะส่งเสริมเครื่องมือภายในนี้ให้เป็นบริการสาธารณะ

ด้วยการพัฒนาโครงการและการทำซ้ำของเรื่องราวในอุตสาหกรรม (โดยเฉพาะการเพิ่มขึ้นของแนวคิดการแยกส่วนบัญชี) Safe จึงไม่ใช่แค่เครื่องมือลายเซ็นหลายรายการอีกต่อไป แต่ได้เปลี่ยนเป็นโครงสร้างพื้นฐานของบัญชีสัญญาอัจฉริยะแบบแยกส่วนแล้ว โดยหวังว่าจะค่อย ๆ แทนที่บัญชี EoA กระแสหลักในปัจจุบันด้วยบัญชีสัญญาอัจฉริยะเริ่มต้น ซึ่งจะสร้างรากฐานสำหรับการเผยแพร่สกุลเงินดิจิทัลให้แพร่หลายมากขึ้นต่อไป

เซฟมีประวัติการระดมทุนจากภาครัฐเพียงครั้งเดียว ในเดือนกรกฎาคม พ.ศ. 2565 Safe ได้ประกาศเสร็จสิ้นการระดมทุนเชิงกลยุทธ์มูลค่า 100 ล้านดอลลาร์สหรัฐ นำโดย 1kx พร้อมด้วยการมีส่วนร่วมจาก Tiger Global, AT Capital, Blockchain Capital, Digital Currency Group, IOSG Ventures, Greenfield One, Rockaway Blockchain Fund, ParaFi, Lightspeed, Polymorphic Capital, Superscrypt และพันธมิตรเชิงกลยุทธ์และผู้เชี่ยวชาญในอุตสาหกรรมอื่นๆ อีก 50 ราย (ซึ่งเป็นกลุ่มที่น่าภาคภูมิใจของปีนั้น)

การตอบสนองอย่างเป็นทางการของ Safe ต่อรายงานการตรวจสอบนิติเวชของแฮ็กเกอร์ Bybit: ไม่มีช่องโหว่ในสัญญาและโค้ดส่วนหน้า

เพื่อตอบสนองต่อรายงานการตรวจสอบหลักฐานทางนิติวิทยาศาสตร์ของแฮกเกอร์ Bybit ทีมงาน Safe{Wallet} ได้ทำการสืบสวนอย่างละเอียดทันทีและวิเคราะห์การโจมตีแบบกำหนดเป้าหมายที่เปิดตัวโดยกลุ่ม Lazarus บน Bybit (กลุ่ม Lazarus หรือที่รู้จักกันในชื่อ Guardians หรือ Peace หรือ Whois Team เป็นกลุ่มแฮกเกอร์ที่ประกอบด้วยผู้คนจำนวนหนึ่งที่ไม่ทราบแน่ชัด ซึ่งถูกควบคุมโดยรัฐบาลเกาหลีเหนือ แม้ว่าผู้คนจะรู้เพียงเล็กน้อยเกี่ยวกับกลุ่มนี้ แต่ผู้วิจัยได้ระบุว่าพวกเขาถูกโจมตีทางไซเบอร์หลายครั้งตั้งแต่ปี 2010)

เครื่องของนักพัฒนาถูกแฮ็ก ส่งผลให้เงินของ Bybit ถูกขโมย แต่ไม่มีช่องโหว่ในสัญญาและโค้ดส่วนหน้า การสืบสวนของทีมงานได้ยืนยันว่าการโจมตีไม่ได้เกิดขึ้นผ่านสัญญาอัจฉริยะ Safe หรือช่องโหว่โค้ดส่วนหน้า แต่เกิดขึ้นโดยการแพร่ระบาดไปยังเครื่องของนักพัฒนา Safe{Wallet} จึงทำให้เกิดธุรกรรมอันตรายที่อำพรางไว้ การวิเคราะห์นิติเวชโดยผู้เชี่ยวชาญด้านความปลอดภัยภายนอกไม่พบปัญหาความปลอดภัยในระดับระบบหรือสัญญา ซึ่งบ่งชี้ว่า สาเหตุของการโจมตีคือช่องโหว่ด้านความปลอดภัยบนเครื่องของนักพัฒนา

หลังจากเหตุการณ์เกิดขึ้น Safe{Wallet} ได้ดำเนินการตอบสนองอย่างครอบคลุมโดยสร้างโครงสร้างพื้นฐานใหม่ทั้งหมด อัปเดตข้อมูลประจำตัว และกำจัดเวกเตอร์การโจมตีออกไปจนหมด ขณะนี้ Safe{Wallet} ได้กลับมาดำเนินการตามปกติบนเครือข่ายหลัก Ethereum โดยใช้แนวทางการเปิดตัวแบบเป็นระยะเพื่อรับรองความปลอดภัยของระบบ ในเวลาเดียวกัน ทีมงาน Safe{Wallet} จะยังคงส่งเสริมการตรวจสอบธุรกรรมและมุ่งมั่นที่จะปรับปรุงความปลอดภัยและความโปร่งใสของอุตสาหกรรมของ Web3 แม้ว่าส่วนหน้าของ Safe{Wallet} จะทำงานตามปกติและได้ใช้มาตรการรักษาความปลอดภัยเพิ่มเติม แต่ทีมงานยังคงเตือนผู้ใช้ให้ระมัดระวังและตื่นตัวเป็นพิเศษเมื่อลงนามในธุรกรรม

อย่างไรก็ตาม รายงานเหตุการณ์ที่เผยแพร่โดย Safe ไม่ได้รับการยอมรับอย่างกว้างขวาง เชื่อกันว่าถ้อยคำที่คลุมเครือในรายงานทำให้ประเด็นสำคัญต่างๆ คลุมเครือ CZ ผู้ก่อตั้งร่วมของ Binance กล่าวบนแพลตฟอร์ม X ว่า แม้ว่าโดยทั่วไปแล้วจะไม่วิพากษ์วิจารณ์ผู้เข้าร่วมในอุตสาหกรรมอื่น แต่ประเด็นต่างๆ มากมายในรายงานไม่ได้รับการอธิบายอย่างชัดเจน ทำให้เกิดคำถามมากกว่าคำตอบหลังจากอ่านรายงาน

เหตุใดส่วนหน้า Safe จึงถูกแทรกแซงยังคงต้องเปิดเผยรายละเอียด

“แบรนด์ Safe สมควรได้รับเฉพาะส่วนของสัญญาอัจฉริยะเท่านั้น ” SlowMist Yuxian โพสต์บนแพลตฟอร์ม X ว่า “ในที่สุด Safe ก็ถูกแฮ็กได้ เป็นเรื่องจริงที่ส่วนของสัญญาอัจฉริยะนั้นไม่มีปัญหาอะไร (สามารถตรวจสอบได้ง่ายบนเครือข่าย) แต่ส่วนหน้าถูกแทรกแซงและปลอมแปลงเพื่อให้ได้ผลหลอกลวง ส่วนสาเหตุที่ถูกแทรกแซงนั้น รอรายละเอียดอย่างเป็นทางการของ Safe ที่จะเปิดเผย”

“ฉันกลัวว่าจะแจ้งเตือนศัตรู ดังนั้นฉันจึงได้แต่เฝ้าจับตาดูไบบิต กระต่ายอ้วนตัวใหญ่เอาไว้”

Safe คือโครงสร้างพื้นฐานด้านความปลอดภัยชนิดหนึ่ง หลายๆ คนเคยใช้เวอร์ชันที่มีปัญหามาก่อน ในทางทฤษฎีแล้ว ทุกคนที่ใช้กระเป๋าสตางค์หลายลายเซ็นนี้อาจถูกขโมยได้เช่นเดียวกับ Bybit แต่เนื่องจากไม่ใช่ Bybit จึงไม่ถูกเรียกใช้งาน ดังนั้นบริการแบบโต้ตอบกับผู้ใช้อื่นๆ ทั้งหมดที่มี front-ends, API และอื่นๆ อาจมีความเสี่ยง นี่ถือเป็นการโจมตีห่วงโซ่อุปทานแบบคลาสสิกเช่นกัน บางทีโมเดลการจัดการความปลอดภัยสำหรับสินทรัพย์ขนาดใหญ่หรือขนาดใหญ่จำเป็นต้องได้รับการอัปเกรดครั้งใหญ่

นอกจากนี้ สมาชิกชุมชนยังชี้ให้เห็นว่าเหลือเวลาอีกเพียง 2 เดือนเท่านั้นก่อนที่เงินทุนจะได้รับการปลดล็อค และผลกระทบเชิงลบในปัจจุบันทำให้แรงกดดันด้านเวลาที่ Safe เผชิญนั้นรุนแรงมากขึ้น และยังคงไม่แน่นอนว่า Safe จะสามารถเอาชนะความยากลำบากนี้ในอนาคตได้หรือไม่

สรุป

เหตุการณ์ที่เกิดขึ้นนี้ ช่องโหว่ของ Safe ได้เปิดเผยปัญหาสำคัญหลายประการในด้านความปลอดภัยของ Web3 ส่งผลให้อุตสาหกรรมทั้งหมดต้องได้รับผลกระทบ

ประการแรก การจัดการความซับซ้อนของสัญญาอัจฉริยะเป็นสิ่งสำคัญ โดยเฉพาะในแอปพลิเคชันที่มีฟังก์ชันที่ซับซ้อน เช่น กระเป๋าเงินหลายลายเซ็น แม้ว่ากระเป๋าเงินหลายลายเซ็นได้รับการออกแบบมาเพื่อปรับปรุงความปลอดภัย แต่ฟังก์ชันที่ซับซ้อน เช่น การมอบหมายสายสามารถทำให้เกิดช่องโหว่ด้านความปลอดภัยได้อย่างง่ายดายหากไม่ได้รับการจัดการอย่างถูกต้อง ดังนั้นสัญญาอัจฉริยะจะต้องได้รับการตรวจสอบอย่างเข้มงวดและทดสอบอย่างเหมาะสมเพื่อให้มั่นใจว่าไม่มีช่องโหว่ใดๆ ที่พลาดไป

ประการที่สอง ความสำคัญของการตรวจสอบส่วนหน้าไม่สามารถละเลยได้ แฮกเกอร์เปิดฉากโจมตีด้วยการดัดแปลงอินเทอร์เฟซส่วนหน้า ส่งผลให้สูญเสียทรัพย์สินของผู้ใช้และเปิดเผยจุดอ่อนของการต่อต้านการดัดแปลงส่วนหน้า เพื่อป้องกันการโจมตีประเภทดังกล่าว จำเป็นต้องเสริมสร้างกลไกการตรวจสอบอินเทอร์เฟซผู้ใช้เพื่อให้แน่ใจว่าลิงก์แต่ละลิงก์สามารถระบุการปลอมตัวที่เป็นอันตรายได้อย่างมีประสิทธิภาพ และป้องกันไม่ให้ผู้ใช้ถูกหลอกลวงเมื่อลงนามในธุรกรรม

ท้ายที่สุด การควบคุมการอนุญาตที่ครอบคลุมและการสแกนความเสี่ยงแบบเรียลไทม์เป็นกุญแจสำคัญในการป้องกันไม่ให้เหตุการณ์ที่คล้ายกันเกิดขึ้นอีก การขาดการจัดการการอนุญาตโดยละเอียดและระบบการตรวจสอบแบบเรียลไทม์ทำให้ผู้โจมตีสามารถฝ่าการป้องกันและดำเนินการที่เป็นอันตรายได้ง่าย ดังนั้น เมื่อทำการออกแบบและใช้งานสัญญาอัจฉริยะ จำเป็นต้องนำกลไกการยืนยันต่างๆ มาใช้ เพิ่มการป้องกันเพิ่มเติมสำหรับการดำเนินการที่มีความเสี่ยงสูง และเสริมสร้างการตรวจสอบความเสี่ยงแบบเรียลไทม์ เพื่อให้สามารถระบุและจัดการกับภัยคุกคามที่อาจเกิดขึ้นได้อย่างทันท่วงที

บทความต้นฉบับ, ผู้เขียน:Asher。พิมพ์ซ้ำ/ความร่วมมือด้านเนื้อหา/ค้นหารายงาน กรุณาติดต่อ report@odaily.email;การละเมิดการพิมพ์ซ้ำกฎหมายต้องถูกตรวจสอบ

ODAILY เตือนขอให้ผู้อ่านส่วนใหญ่สร้างแนวคิดสกุลเงินที่ถูกต้องและแนวคิดการลงทุนมอง blockchain อย่างมีเหตุผลและปรับปรุงการรับรู้ความเสี่ยงอย่างจริงจัง สำหรับเบาะแสการกระทำความผิดที่พบสามารถแจ้งเบาะแสไปยังหน่วยงานที่เกี่ยวข้องในเชิงรุก

ความปลอดภัย
สัญญาที่ชาญฉลาด
Asher

Asher

ดูเพิ่มเติม
การอ่านแนะนำ
ตัวเลือกของบรรณาธิการ
twitter.png
discord.png
telegram.png Group
telegram.png Channel
weibo.png
Github.png