เกิดเหตุการณ์ที่น่าประทับใจในวงการคริปโตในสัปดาห์นี้ เมื่อผู้ใช้สามารถกู้คืนเงินของตนหลังจากสูญเสีย 100 ETH เนื่องจากข้อบกพร่องในกระเป๋าเงิน
การกู้คืนนี้เป็นผลมาจากการดำเนินการของทีม Safe Wallet และการมองการณ์ไกลของนักพัฒนาสายขาวที่ Protofire
100 ETH สูญหายเพราะบั๊กในกระเป๋า—แล้วกู้คืนได้อย่างน่าทึ่ง
Sponsoredเหตุการณ์นี้เกิดขึ้นเมื่อผู้ใช้ Ethereum ที่ใช้ชื่อว่า khalo_0x บน X (Twitter) พยายามที่จะโอน 100 ETH จาก Ethereum Mainnet ไปยัง บล็อกเชน Base โดยใช้ส่วนต่อประสาน Safe Wallet Bridge อย่างเป็นทางการ
ในอัตราปัจจุบันที่ ETH ซื้อขายอยู่ที่ 2,635 USD ณ เวลานี้ การโอนนี้มีมูลค่ามากกว่า 263,500 USD
โดยที่เขาไม่รู้ ข้อบกพร่องที่สำคัญในประสบการณ์ผู้ใช้ของเครื่องมือสะพานทำให้การโอนเงินไปยัง กระเป๋าเงินสมาร์ทคอนแทรค ที่ดูเหมือนจะเป็นของเขา
อย่างไรก็ตาม กระเป๋าเงินนี้ถูกควบคุมโดยหน่วยงานอื่น
ปัญหานี้เกิดจากการที่ Khalo ใช้เวอร์ชันเก่าของ Safe (v1.1.1) ที่ถูกใช้งานในปี 2020 ซึ่งเวอร์ชันนี้ไม่มีการพิจารณา multichain และขาดการป้องกันที่เป็นมาตรฐานในเวอร์ชันใหม่
Sponsored Sponsoredผลที่ตามมาคือ ผู้โจมตี หรืออย่างที่ดูเหมือนในตอนแรก ได้ทำการติดตั้งสำเนาที่อยู่กระเป๋าเงินของ Khalo บน Base แต่มีการกำหนดเจ้าของที่แตกต่างกัน ด้วยวิธีนี้พวกเขาสามารถยึดเงินได้ทันทีที่มีการโอน
ดิฉันสูญเสียเงินออมชีวิตในคลิกเดียวเมื่อใช้ Safe เมื่อคืน นั่นหลังจากถือ ETH มา 8 ปีและหลีกเลี่ยงการหลอกลวง ข้อบกพร่อง UX ในฟีเจอร์ Bridge อย่างเป็นทางการบอกว่าที่อยู่ปลายทางคือ Safe ของดิฉันบน Base แต่ไม่ใช่ Khalo กล่าวด้วยความเสียใจ ในโพสต์
ทวีตนี้ได้รับความสนใจจากชุมชนคริปโต รวมถึงทีม Safe นักพัฒนา Tschubotz.eth ได้ตรวจสอบและพบว่าที่อยู่ Base ที่ควบคุม ETH ที่ถูกโอน ไม่ได้เป็นอันตรายแต่อย่างใด
Sponsoredเวอร์ชันกระเป๋าเงินเก่าเปิดช่องให้การโจมตีข้ามเชน
แทนที่จะเป็นเช่นนั้น มันถูกปรับใช้โดย Protofire ซึ่งเป็นบริษัทพัฒนาที่มีจริยธรรมที่ได้ปรับใช้กระเป๋าเงิน Safe v1.1.1 หลายร้อยใบบน Base อย่างเชิงรุกเพื่อป้องกันไม่ให้ผู้โจมตีที่ไม่มีจริยธรรมทำเช่นนั้น
ต่างจาก EOAs (Externally Owned Accounts) บัญชีอัจฉริยะอย่าง Safe ถูกควบคุมโดยโค้ดสัญญาอัจฉริยะที่ปรับใช้แล้ว มันเป็นไปได้ทางเทคนิคที่จะปรับใช้บัญชีอัจฉริยะด้วยการตั้งค่าการปรับใช้เดียวกัน (ผู้ลงนามเดียวกัน) บนเครือต่าง ๆ ที่อยู่เดียวกัน (ใช้การปรับใช้ counterfactual) แต่กรณีนี้แตกต่าง… เวอร์ชันบัญชีอัจฉริยะจากตอนนั้น (v1.1.1.) ยังไม่ได้เขียนโดยคำนึงถึง multichain ดังนั้นจึงเป็นไปได้ที่ใครก็ตามจะปรับใช้บัญชีอัจฉริยะบนเครือข่ายที่แตกต่างกันด้วยการตั้งค่าที่แตกต่างกันโดยสิ้นเชิงที่อยู่เดียวกัน Lukas Schor ผู้ร่วมก่อตั้ง Safe อธิบาย
เมื่อยืนยันตัวตนของ Khalo แล้ว Protofire ได้คืน 100 ETH เต็มจำนวนอย่างรวดเร็ว การโอนเต็มจำนวนสำเร็จตามการทดสอบการทำธุรกรรม แก้ไขวิกฤตเพียงไม่กี่ชั่วโมงหลังจากที่มันเริ่มต้น
นี่เป็นหนึ่งในเรื่องราวคริปโตที่เจ๋งที่สุดที่ฉันเคยเห็นในระยะหนึ่ง Haseeb Qureshi หุ้นส่วนผู้จัดการที่ Dragonfly กล่าว
เหตุการณ์นี้เน้นย้ำถึงความจำเป็นเร่งด่วนในการมีการป้องกันผู้ใช้ที่ดีขึ้นเมื่อกระเป๋าเงินคริปโตพัฒนาในระบบนิเวศ multichain
Sponsored Sponsoredเวอร์ชันที่อัปเดตของ Safe v1.2.0 ขณะนี้มีการป้องกันจากการโจมตีประเภทนี้โดยการเปลี่ยนวิธีการคำนวณเกลือ CREATE2 ระหว่างการปรับใช้สัญญา
เครื่องมือสะพานยังได้รับการอัปเกรดเพื่อออกคำเตือนหากมีโค้ดสัญญาอัจฉริยะที่ขัดแย้งกันที่อยู่ปลายทาง
อย่างไรก็ตาม เหตุการณ์นี้เป็นการเตือนสติว่าผู้ใช้ยังคงเสี่ยงต่อบั๊กที่ละเอียดอ่อนและไม่ชัดเจน
เรายังคงอยู่ในจุดที่ผู้ใช้คาดว่าจะทำการทดสอบการทำธุรกรรมก่อนที่จะย้ายเงินจำนวนมาก Schor กล่าวเสริม
แม้จะมีความตื่นตระหนกในตอนแรก แต่เรื่องราวของ Khalo ก็จบลงด้วยการที่เงินของเขาได้รับการคืน
