โปรดอัพเดตเบราว์เซอร์

เบราว์เซอร์ที่คุณใช้เป็นเวอร์ชันเก่าซึ่งไม่สามารถใช้บริการของเราได้ เราขอแนะนำให้อัพเดตเบราว์เซอร์เพื่อการใช้งานที่ดีที่สุด

ไอที ธุรกิจ

โปรเจกต์ DeFi `PancakeSwap` ถูกแฮ็ก กว่า 1.8 ล้านดอลลาร์

efinanceThai

เผยแพร่ 16 พ.ค. 2564 เวลา 01.39 น.

โปรเจกต์ DeFi PancakeSwap ถูกแฮ็ก กว่า 1.8 ล้านดอลลาร์ 

สำนักข่าวอีไฟแนนซ์ไทย- -16 พ.ค. 64 8:39: น.

PancakeSwap Lottery ถูกใช้ช่องโหว่ ดึงเงินกว่า 1.8 ล้านดอลลาร์ออกไปจาก Pool เมื่อสัปดาห์ที่แล้ว หลังมีผู้สามารถเข้าถึงบัญชี Admin ของ PancakeSwap ได้

จากปัญหาเดิมๆ ของ Smart Contract อย่างการสุ่ม ซึ่งภาษา Solidity ที่ใช้ในการเขียน Smart Comtract นั้นไม่มีฟังก์ชั่นนี้ และที่มาของการสุ่มทั้งหมดนั้นต้องอยู่บน Chain เสมอ ดังนั้น โครงการต่างๆ ที่ใช้ Block header, Transaction Hashe หรืออื่นๆ ที่มีเป็นลักษณะของการสร้างการสุ่มขึ้นมา แต่ทั้งหมดทั้งมวลมันก็ไม่ใช่การสุ่มอย่างแท้จริง มันเป็นเพียงแค่ Pseudorandom หรือการสุ่มแบบหลอกๆ

ซึ่งปัญหาเหล่านี้ก็เคยได้ส่งผลกระทบมาก่อนแล้ว อย่างเช่นการใช้ประโยชน์จากช่องโหว่ของ Meebits เมื่อไม่นานมานี้ และล่าสุดในกรณีของ PancakeSwap lottery ที่โดยปกติแล้วจำนวน lottery ของ PancakeSwap จะถูกสร้างขึ้นมาอ้างอิงจากเงื่อนไขต่างๆ ที่สามารถคาดเดาหรือคำนวนได้ ดั้งนั้นจึงมีผู้ไม่ประสงค์ดีได้ใช้ข้อมูลต่างๆ คำนวนล่วงหน้า และใช้ช่องโหว่นี้ทำการดึงเงินออกมาจาก Pool ทั้งหมด

อ้างอิงจากผู้เขียนบล็อก Crypto Pwnage บนเว็บไซต์ medium.com ได้เผยหลักฐานที่แสดงให้เห็นว่ามีผู้ไม่ประสงค์ดีใช้งานบัญชี Admin ของ PancakeSwap เอง ในการกระทำความผิดในครั้งนี้ ทำให้สามารถเข้าไปสร้าง Contract ใหม่, พบช่องโหว่ และนำเงินออกมาโดยใช้บัญชีของเขาเอง

แม้ว่าการกระทำครั้งนี้จะกระทำโดยการใช้บัญชีของ Admin เองก็ตาม ในการใช้ช่องโหว่ในการดึงเงินออกมา แต่ทางผู้เขียนบล็อกดังกล่าวก็อาจจะเข้าใจผิด ซึ่งจริงๆ มันอาจจะไม่ได้เป็นการแฮ็กเลยก็ได้ และเงินก็ไม่ได้ถูกขโมยด้วย ซึ่งในขณะนี้ยังไม่มีการประกาศอย่างเป็นทางการจาก PancakeSwap เอง การกระทำครั้งนี้จึงอาจจะเป็นการกระทำแบบ White hat (อาจจะโดยทีมงานของ PancakeSwap เอง) ที่แค่นำเงินออกไปจาก Contract เพื่อป้องการแฮกเกอร์คนอื่นๆที่จะมาพบช่องโหว่นี้ และอาจจะใช้ประโยชน์จากมันได้

โดยมีหลักฐานแรกคือ บัญชี Admin ของ PancakeSwap ใช้ Address ที่เป็นสาธารณะมากระทำการต่างๆ ผ่านช่องโหว่นี้ ดังนั้นถ้าหากผู้ไม่ประสงค์ดีต้องการใช้ประโยชน์จากช่องโหว่นี้จริงๆ เขาก็ควรจะใช้เป็นบัญชีที่ไม่เปิดเผยตัวตนเสียดีกว่า หลักฐานที่สองคือ เงินที่ถูกนำออกมาจาก Lottery pool นั้นก็กำลังถูกเผาทิ้งโดยบัญชีของ Admin เองด้วยเช่นกัน

ในขณะที่ช่องโหว่ดังกล่าวนั้นค่อนข้างน่าเป็นห่วง และไม่ได้เป็นสัญญาณที่ดีเลย แต่ถ้าหากเป็นเรื่องจริง การจัดการโดยทางทีมของ PancakeSwap ก็อาจจะค่อยๆ เพิ่มความมั่นใจให้กับเหล่าผู้ใช้ และแสดงให้เห็นว่าทาง PancakeSwap นั้นยินดีที่จะปรับปรุงแก้ไขเมื่อพบปัญหา (ถึงแม้ว่าจะเป็นวิธีการที่ไม่ถูกต้องเสียเท่าไร ในการแอบเข้าไปขโมยเงินของเหล่าผู้ใช้งานก็ตาม)

แปลโดย : พงศภัค รจนา
ที่มา : cryptopotato

เรียบเรียง โดย ชัชชญา อังคุลี 
                อีเมล์. chatchaya@efinancethai.com
ดูข่าวต้นฉบับ

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...