การโจมตี Stake DAO และโทเค็น vsdCRV
Stake DAO กำลังเผชิญกับการโจมตีที่เกี่ยวข้องกับโทเค็น vsdCRV บน Arbitrum โดยบริษัทด้านความปลอดภัยของบล็อกเชน Blockaid ระบุว่าผู้โจมตีได้สร้าง vsdCRV มากกว่า 5.4 ล้านล้านโทเค็น และเริ่มแลกเปลี่ยนโทเค็นเหล่านี้เป็น ETH
Stake DAO ยืนยันว่าทราบถึงสถานการณ์นี้และขอให้ผู้ใช้ไม่ทำการติดต่อกับ vsdCRV คำเตือนจากโครงการเกิดขึ้นในขณะที่นักวิจัยยังคงติดตามกิจกรรมของผู้โจมตีใน Arbitrum และ Ethereum
“เราทราบถึงสถานการณ์ที่เกิดขึ้น โปรดอย่าทำการติดต่อกับ vsdCRV หรือ sdCRV ที่ได้รับการเพิ่มคะแนนการลงคะแนน ซึ่งเชื่อมโยงกับระบบนิเวศของ Curve Finance และใช้ในผลิตภัณฑ์ผลตอบแทนของ Stake DAO”
โทเค็นนี้กลายเป็นศูนย์กลางของเหตุการณ์หลังจากที่ผู้โจมตีอ้างว่ามีการควบคุมเพียงพอในการสร้างอุปทานจำนวนมาก
PeckShield กล่าวว่า ส่วนหนึ่งของเงินที่ถูกสร้างขึ้นได้ถูกแลกเปลี่ยนเป็น ETH จำนวน 43.78 ซึ่งมีมูลค่าประมาณ 91,000 ดอลลาร์ และถูกส่งไปยัง Ethereum
การเข้าถึงกุญแจส่วนตัวและการโจมตี
เหตุการณ์นี้ยังคงเป็นเรื่องที่กำลังพัฒนา และตัวเลขการสูญเสียสุดท้ายอาจเปลี่ยนแปลงได้เมื่อมีการติดตามธุรกรรมเพิ่มเติม
Blockaid กล่าวว่า สาเหตุที่สงสัยคือการเข้าถึง กุญแจส่วนตัว ของผู้สร้าง Stake DAO ที่ถูกบุกรุก ตามข้อมูลของบริษัท ผู้โจมตีใช้การเข้าถึงนั้นเพื่อปรับเปลี่ยน LayerZero v2 OFT peer สำหรับสัญญาโทเค็น vsdCRV
การเปลี่ยนแปลงนั้นอาจเปลี่ยนทิศทางความเชื่อถือจากอะแดปเตอร์ด้าน Ethereum ที่ถูกต้องตามกฎหมายไปยังสัญญาที่เป็นอันตรายซึ่งควบคุมโดยผู้โจมตี
จากนั้นผู้โจมตีได้ส่งข้อความข้ามสายที่ปลอมแปลงซึ่งกระตุ้นให้มีการสร้าง vsdCRV ประมาณ 5.44 ล้านล้านโทเค็น
BlockSec อธิบายการโจมตีว่าเป็นกรณีที่ผู้โจมตีดูเหมือนจะได้รับกุญแจส่วนตัวของผู้สร้างและตั้งค่า peer ที่ไม่เป็นทางการสำหรับ vsdCRV
บริษัทกล่าวว่าข้อความปลอมแปลงนั้นทำให้เกิดการสร้างโทเค็นโดยไม่มีเงื่อนไขไปยังที่อยู่ของผู้โจมตี
ความเสี่ยงใน DeFi
เหตุการณ์นี้ถูกกล่าวถึงว่าเกิดจากการบุกรุกกุญแจผู้สร้าง ส่งผลให้มีการสร้าง vsdCRV ประมาณ 5.44 ล้านล้านโทเค็น ให้กับผู้โจมตี
ผู้โจมตีดูเหมือนจะได้รับกุญแจส่วนตัวของผู้สร้างและตั้งค่า peer ที่ไม่เป็นทางการสำหรับ vsdCRV โดยใช้ peer นั้น พวกเขาได้ปลอมแปลงข้อความที่เป็นอันตราย
เหตุการณ์นี้แสดงให้เห็นว่าการเข้าถึงที่มีสิทธิพิเศษยังคงเป็นความเสี่ยงที่สำคัญใน DeFi แม้ว่ารหัสของสัญญาอัจฉริยะจะทำงานตามที่ออกแบบไว้ แต่การบุกรุกกุญแจผู้สร้างสามารถให้ผู้โจมตีมีความสามารถในการเปลี่ยนแปลงการตั้งค่าที่เชื่อถือได้และกระตุ้นให้เกิดการสูญเสีย
การโจมตี Stake DAO เกิดขึ้นหลังจากเหตุการณ์ DeFi ล่าสุดหลายครั้ง ตามที่รายงานโดย crypto.news ผู้ร่วมก่อตั้ง OpenZeppelin Manuel Aráoz กล่าวว่า เขาเริ่มพิจารณาว่า “DeFi ทั้งหมด” ไม่ปลอดภัยและได้แนะนำเพื่อนและครอบครัวให้ถอนตัวจากตำแหน่ง DeFi
Aráoz โต้แย้งว่าตัวแทนการเขียนโค้ดกำลังกลายเป็นเครื่องมือที่มีประสิทธิภาพในการค้นหาช่องโหว่ ขณะที่ผู้ป้องกันยังคงต้องแก้ไขจุดอ่อนทุกจุดก่อนที่ผู้โจมตีจะค้นพบหนึ่งในนั้น
ความคิดเห็นของเขาเกิดขึ้นในขณะที่โปรโตคอล DeFi สูญเสียประมาณ 629.7 ล้านดอลลาร์ จากการโจมตีในเดือนเมษายน นอกจากนี้ Wasabi Protocol สูญเสียมากกว่า 5 ล้านดอลลาร์ ใน Ethereum, Base, Berachain และ Blast หลังจากที่กุญแจผู้ดูแลระบบถูกบุกรุกทำให้ผู้โจมตีสามารถอัปเกรดสัญญาและดึงเงินออกไปได้
กรณีนั้นมีความคล้ายคลึงกับความกังวลของ Stake DAO ในปัจจุบัน เนื่องจากทั้งสองเหตุการณ์เกี่ยวข้องกับการเข้าถึงกุญแจที่มีสิทธิพิเศษมากกว่าการจัดการตลาดที่ง่าย
Wasabi ยังได้เตือนผู้ใช้ไม่ให้ทำการติดต่อกับสัญญาของตนในขณะที่ทีมกำลังทำการสอบสวน
ความเสี่ยงของโทเค็นข้ามสาย
เหตุการณ์ Stake DAO ยังชี้ให้เห็นถึงความเสี่ยงของโทเค็นข้ามสาย รายงานด้านความปลอดภัยได้ติดตามการโจมตีซ้ำที่เกี่ยวข้องกับสะพาน การตั้งค่า peer และการตรวจสอบข้อความข้ามสายในปี 2026
รายงานความปลอดภัยของ BlockSec ในเดือนพฤษภาคมได้ระบุเหตุการณ์หลายอย่างใน Ethereum, Sui, BNB Chain, Base, Blast และ Berachain โดยมีการสูญเสียรวมประมาณ 15.9 ล้านดอลลาร์ ในช่วงระยะเวลาสองสัปดาห์
บล็อกของมันยังระบุ Wasabi ว่าเป็นกรณีการบุกรุกกุญแจ ในเดือนเมษายน Kelp DAO ประสบกับการโจมตี DeFi ที่ใหญ่ที่สุดในปีนี้หลังจากที่ผู้โจมตีดึงเงินออกไปประมาณ 292 ล้านดอลลาร์ จากสะพานที่ขับเคลื่อนด้วย LayerZero
การละเมิดนี้ทำให้เกิดความกังวลเกี่ยวกับการสนับสนุนสินทรัพย์ข้ามสายในเครือข่ายมากกว่า 20 เครือข่าย
