แฮ็กคริปโต 120 ล้าน: ช่องโหว่สไตล์ Office Space

เมื่อต้นสัปดาห์ที่ผ่านมา ช่องโหว่สำคัญในโปรโตคอล DeFi (Decentralized Finance) ที่มีชื่อว่า Balancer ถูกโจมตี ทำให้เกิดความสูญเสียคริปโตมูลค่าประมาณ 120 ล้านดอลลาร์สหรัฐฯ หรือมากกว่านั้น แม้ว่าในตอนแรกจะไม่ชัดเจนว่าการโจมตีเกิดขึ้นได้อย่างไร แต่รายงานเบื้องต้นจากทีมงาน Balancer ระบุว่าส่วนใหญ่มาจากการที่โปรโตคอลจัดการกับการปัดเศษยอดคงเหลือของโทเค็นคริปโต

การโจมตี Balancer ครั้งนี้สร้างความตกตะลึงให้กับหลายๆ คนในระบบนิเวศ DeFi เนื่องจากเป็นโครงการที่ผ่านการตรวจสอบความปลอดภัยจากบริษัทที่ได้รับการยอมรับมาแล้วหลายครั้ง และโปรโตคอลเวอร์ชันที่ถูกโจมตีนั้นใช้งานมาตั้งแต่ปี 2021

ในการสัมภาษณ์กับ CNBC’s Squawk Box เมื่อเช้าวันพุธ Chris Krebs อดีตผู้อำนวยการ Cybersecurity and Infrastructure Security Agency เปรียบเทียบการโจมตี Balancer กับแผนการจาก Office Space ซึ่งเป็นแนวคิดในการโกงเศษสตางค์จากการทำธุรกรรมแต่ละรายการ Krebs ยังชี้ให้เห็นถึงความเป็นไปได้ในการใช้ปัญญาประดิษฐ์ (AI) ในการสร้างโค้ดที่ใช้ในการโจมตี ซึ่งเป็นอีกแง่มุมที่น่าสนใจของสถานการณ์นี้

โดยสรุปตามการวิเคราะห์ของ Balancer เอง นี่คือสิ่งที่เกิดขึ้นกับการโจมตีนี้

หัวใจสำคัญของการโจมตีคือข้อผิดพลาดในการปัดเศษในโค้ดของ Balancer ที่เกี่ยวข้องกับวิธีการจัดการการซื้อขาย โดยเฉพาะอย่างยิ่งการสลับแบบเป็นชุด (batched swaps) ซึ่งการซื้อขายหลายรายการระหว่างสินทรัพย์คริปโตที่แตกต่างกันสามารถรวมกันเป็นการทำธุรกรรมเดียวได้ จุดประสงค์คือเพื่อช่วยให้ผู้ใช้ประหยัดค่าแก๊ส ซึ่งเป็นค่าใช้จ่ายในการโต้ตอบกับแพลตฟอร์มสัญญาอัจฉริยะบนบล็อกเชนเช่น Balancer

⚖️ สรุปการ แฮ็กคริปโต 120 ล้าน Balancer:

🧮 โทเค็นส่วนใหญ่บน Ethereum ใช้ 18 ตำแหน่งทศนิยม แต่บางโทเค็นไม่ได้ใช้

✖️ Balancer เพิ่มขนาดโทเค็น (เป็น 18 ตำแหน่งทศนิยม) และลดขนาดลง

🔧 การเพิ่มขนาดจะปัดเศษลงเสมอ แต่การลดขนาดอาจปัดเศษขึ้นหรือลง

😬 ยิ่งมีขั้นตอนการปรับขนาดมากเท่าไหร่…

ในระหว่างการสลับประเภทนี้ที่เรียกว่า EXACT_OUT โค้ดของ Balancer จะต้องปรับขนาดตัวเลขขึ้นหรือลงเพื่อให้การคำนวณแม่นยำ (คิดว่าเป็นการแปลงหน่วยเงิน) แต่ระบบบางครั้งก็ปัดเศษลงในลักษณะที่สร้างความไม่สมดุลเล็กน้อย

เมื่อทำการซื้อขายซ้ำๆ แฮกเกอร์สามารถใช้ประโยชน์จากช่องว่างเล็กๆ เหล่านี้เพื่อก่อกวนยอดคงเหลือของพูลได้ ซึ่งเป็นที่มาของการเปรียบเทียบของ Krebs กับแผนการใน Office Space นอกเหนือจากนั้นยังมีการปรับแต่งเพิ่มเติมอีกเล็กน้อย แต่ข้อผิดพลาดในการปัดเศษนี้เป็นข้อบกพร่องสำคัญที่เปิดโอกาสให้แฮกเกอร์

แม้ว่าการโจมตี Balancer จะส่งผลกระทบอย่างมากต่อระบบนิเวศ DeFi แต่บล็อกเชนบางแห่งสามารถจำกัดผลตอบแทนสำหรับแฮกเกอร์ได้โดยการระงับสินทรัพย์ ซึ่งขัดแย้งกับปรัชญา “code is law” ที่เป็นหัวใจสำคัญของแพลตฟอร์มคริปโตที่เน้นสัญญาอัจฉริยะที่สื่อความหมายได้มากขึ้น เช่น Ethereum

ผู้สนับสนุน DeFi บางรายกังวลว่าการ แฮ็กคริปโต 120 ล้าน โปรโตคอลที่ได้รับความไว้วางใจอย่างกว้างขวางเช่น Balancer จะทำให้ระดับความไว้วางใจในภาค DeFi ลดลงโดยทั่วไป อย่างไรก็ตาม เป็นที่ชัดเจนว่ากิจกรรมส่วนใหญ่นี้ยังคงได้รับการควบคุมจากส่วนกลางและสามารถดำเนินการในลักษณะที่คล้ายคลึงกับแพลตฟอร์มฟินเทคแบบดั้งเดิม

ตามรายงานของ Unchained บล็อกเชน Polygon และ Sonic ได้ระงับหรือ “เซ็นเซอร์” สินทรัพย์บางส่วนของแฮกเกอร์ Balancer เพื่อป้องกันไม่ให้เงินทุนเคลื่อนย้ายไปยังที่อื่นในอนาคต Berachain ถึงขั้นติดตั้งฮาร์ดฟอร์กฉุกเฉินที่จะอนุญาตให้ผู้ที่ได้รับผลกระทบจากการ แฮ็กคริปโต 120 ล้าน สามารถเรียกร้องเงินทุนคืนได้

เหตุการณ์นี้ชวนให้นึกถึงการดำเนินการที่ดำเนินการโดยนักพัฒนา Ethereum หลังจากการแฮ็ก The DAO ที่อื้อฉาวเมื่อเกือบสิบปีที่แล้วในช่วงเริ่มต้นของเครือข่ายคริปโต และเป็นที่ชัดเจนว่าคริปโตยังคงต้องดิ้นรนกับการแลกเปลี่ยนระหว่างการให้ทุกคนควบคุมเงินดิจิทัลของตนเองอย่างเต็มที่ และการไม่มีใครให้หันไปพึ่งเมื่อมีสิ่งผิดพลาดเกิดขึ้น

บางคนตั้งข้อสังเกตว่าการใช้มาตรการป้องกันประเภทนี้บนเครือข่ายคริปโตที่พัฒนาน้อยกว่านั้นสมเหตุสมผล แต่คนอื่นมองว่านี่เป็นอีกตัวอย่างหนึ่งว่าการกระจายอำนาจในพื้นที่นี้เป็นเพียงการแสดงมากกว่าความเป็นจริงทางเทคนิค