• การแจ้งเตือน ตลาดและราคา
      ดูเพิ่มเติม
    • เปลี่ยนอัตราการซื้อขายและภาษา
    • การตั้งค่ากําหนด
      ปรับเปลี่ยนสีชาร์ตแท่งเทียน
      เวลาเริ่มต้นการเปลี่ยนแปลง%
    Web3 เอ็กซ์เชนจ์
    Gate บล็อก

    ประตูสู่ข่าวสารและข้อมูลเชิงลึกเกี่ยวกับคริปโต

    Gate.io บล็อก การวางความปลอดภัยของสะพานข้ามสายโซ่ภายใต้กล้องจุลทรรศน์: การแฮ็ก Ro

    การวางความปลอดภัยของสะพานข้ามสายโซ่ภายใต้กล้องจุลทรรศน์: การแฮ็ก Ro

    19 April 10:00


    1. เมื่อวันที่ 29 มีนาคม Ronin ห่วงโซ่พิเศษของเกมลูกโซ่ที่ใหญ่ที่สุด Axie Infinity ประกาศว่าถูกโจมตีโดยมีมูลค่าการสูญเสีย 616 ล้านดอลลาร์ทำให้เป็นการขโมยครั้งใหญ่ที่สุดในประวัติศาสตร์ DeFi

    2. แฮ็กเกอร์สามารถควบคุมตัวตรวจสอบโหนดสี่ตัวและผู้ตรวจสอบบุคคลที่สามของสะพาน Ronin สามารถเข้าถึงเกณฑ์การตรวจสอบของสะพานข้ามสายโซ่และดำเนินการโจมตีได้สำเร็จ

    3. ในปัจจุบัน โครงการสะพานข้ามสายที่มีมูลค่าสูงและง่ายต่อการโจมตีเหล่านี้ได้กลายเป็นเป้าหมายที่ร้ายแรงของแฮ็กเกอร์จำนวนมาก

    4. เมื่อวันที่ 5 มกราคม Vitalik ระบุว่าอนาคตของ blockchain คือ "multi-chain" มากกว่า "cross-chain" และเน้นย้ำถึงปัญหาด้านความปลอดภัยของ cross-chain

    เมื่อวันที่ 29 มีนาคม Ronin ซึ่งเป็นห่วงโซ่เฉพาะของเกมลูกโซ่ที่ใหญ่ที่สุด Axie Infinity ประกาศว่าถูกโจมตีและ 173600 ETH และมากกว่า 25 ล้าน USDC ถูกขโมยไป มูลค่าการสูญเสียของ Ronin สูงถึง 616 ล้านดอลลาร์ มากกว่า 611 ล้านดอลลาร์ในคดีขโมยเครือข่าย Poly Network เมื่อเดือนสิงหาคมปีที่แล้ว ซึ่งถือเป็นการขโมยครั้งใหญ่ที่สุดในประวัติศาสตร์ของ DeFi

    สำหรับกรณีการโจรกรรม Poly Network โปรดดูโพสต์บล็อกก่อนหน้าของเรา: Poly Network Heist — Alarm Bells ใน DeFi Security

    ที่มา: Twitter@ Ronin

    ตามข่าวอย่างเป็นทางการของ Ronin เมื่อวันที่ มีนาคม แฮกเกอร์ใช้คีย์ส่วนตัวที่ถูกแฮ็กเพื่อเข้าสู่ระบบและปลอมแปลงการถอนเท็จสองครั้งเพื่อให้ทราบถึงการโจมตี จนกระทั่งถึงวันที่ 29 มีนาคม ห้าวันต่อมา เจ้าหน้าที่โครงการค้นพบการโจมตีเนื่องจากผู้ใช้รายงานว่า 5,000 ETH ไม่สามารถถอนออกจากสะพานข้ามสายโซ่ได้ หลังจากการโจรกรรม เจ้าหน้าที่ของ Ronin ได้หยุด Ronin Bridge และ Katana ทันที ซึ่งเป็นการแลกเปลี่ยนแบบรวมศูนย์บนเครือข่าย นอกจากนี้ เจ้าหน้าที่ของ Ronin ยังกล่าวด้วยว่าการโจมตีครั้งนี้แสดงให้เห็นถึงปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นของสะพาน Ronin และความปลอดภัยของบล็อคเชนของ Ronin นั้นยังคงรับประกันได้

    ทันทีที่มีข่าวออกมา ราคาของสินทรัพย์ที่เกี่ยวข้องต่างๆ รวมถึง AXS และ RON ก็ลดลงอย่างรวดเร็ว



    รายละเอียดการโจมตีของแฮ็กเกอร์


    Axie infinity เป็นเกมบล็อคเชนที่ได้รับความนิยมมากที่สุดในปัจจุบัน มีผู้เล่นมากกว่า 10 ล้านคนทั่วโลก เกมดังกล่าวได้สร้างโหมด "เล่นเพื่อหารายได้" ที่กว้างขวาง ผู้เล่นสามารถรับทรัพย์สิน NFT หรือโทเค็นที่หลากหลายระหว่างการเล่น และสามารถแลกเปลี่ยนเป็นสินทรัพย์อื่น ๆ เช่น weTH และ stablecoin ในการแลกเปลี่ยน

    เพื่อให้เป็นไปตามข้อกำหนดของการซื้อขายอุปกรณ์ประกอบฉากความถี่สูงในเกมและลดต้นทุนการจัดการธุรกรรม Axie Infinity ไม่ได้ใช้เครือข่ายหลักของอีเธอร์เน็ตที่มีความปลอดภัยมากขึ้น แต่สร้าง Ronin ด้านอีเธอร์เน็ตประสิทธิภาพสูงของตัวเอง นอกจากนี้ เพื่อให้มั่นใจถึงความเร็วในการทำธุรกรรม Ronin ได้นำรูปแบบที่สอดคล้องกัน Proof-of-Authority (POA) มาใช้ ซึ่งมีผู้ตรวจสอบจำนวนน้อยและมีการรวมศูนย์ในระดับสูง หลักฐานที่เชื่อถือได้กำหนดให้ผู้ตรวจสอบเหล่านี้มีชื่อเสียงที่ดี พวกเขาจำเป็นต้องเดิมพัน "ชื่อเสียง" ของตนเพื่อเป็นผู้ตรวจสอบ หากผู้ตรวจสอบแสดงสัญญาณของพฤติกรรมที่ไม่เหมาะสมหรือคุกคามความปลอดภัยของเครือข่าย "ชื่อเสียง" จะได้รับผลกระทบในทางลบ

    ที่มา: Axie Marketplace

    ในการเล่น Axie Infinity คุณต้องมีสัตว์เลี้ยง NFT สามตัว Axies สามตัวแรกเป็นตั๋วสำหรับเล่นเกมและต้องซื้อในร้านค้าเกม ด้วยเหตุนี้ ETH บนบล็อคเชน Ethereum จึงต้องแปลงเป็น weETH บนเชน Ronin กระบวนการนี้ทำผ่านสะพานข้ามสายโซ่พิเศษ นอกจากนี้เรายังสามารถใช้ weTH เพื่อซื้อ Axie ในร้านเกม นี่คือจุดที่สะพานข้ามสายโซ่กลายเป็นจุดอ่อนของ Ronin และความก้าวหน้าของการโจมตีของแฮ็กเกอร์

    ก่อนหน้านี้ โหนดตรวจสอบความถูกต้องทั้งหมดเก้าโหนดมีหน้าที่ร่วมกันในการบำรุงรักษาสะพานข้ามสายโซ่ ต้องมีลายเซ็นอย่างน้อยห้าลายเซ็นของโหนดทั้งเก้าเพื่อระบุเหตุการณ์การฝากและถอนเงินบนสะพานข้ามสายโซ่ได้สำเร็จ ในการโจมตีครั้งนี้ แฮ็กเกอร์สามารถควบคุมคีย์ส่วนตัวของตัวตรวจสอบโหนดสี่ตัวและตัวตรวจสอบบุคคลที่สาม ถึงเกณฑ์ตัวตรวจสอบของสะพานข้ามสายโซ่ ดำเนินการโจมตีและถอนเงินได้สำเร็จ มีรายงานว่าเครื่องมือตรวจสอบบุคคลที่สามเพิ่มเติมนี้ได้รับการจัดการโดย Axie DAO แต่การอนุญาตรายการสีขาวที่ออกโดยโหนดในระยะแรกยังไม่ถูกยกเลิก ผู้โจมตีสามารถรับลายเซ็นของผู้ตรวจสอบผ่านโหนด RPC ที่ไม่ใช่ก๊าซ

    ปัจจุบัน Ronin ได้เพิ่มขีดจำกัดตัวตรวจสอบสะพานข้ามสายชั่วคราวจาก 5 เป็น 8 เพื่อลดความเสี่ยงของการโจมตีเพิ่มเติมชั่วคราว เมื่อวันที่ 6 เมษายน Katana Dex บนเครือ Ronin ได้เปิดขึ้นอีกครั้ง


    สะพานข้ามโซ่: ส้น Achilles


    สะพานข้ามสายโซ่สามารถโอนสินทรัพย์บนเครือข่ายจากบล็อกเชนหนึ่งไปยังอีกบล็อกหนึ่งได้ หากเปรียบเทียบบล็อกเชนกับอิฐแข็ง สะพานข้ามสายโซ่จะเป็น "การเชื่อมต่อที่นุ่มนวล" ระหว่างบล็อกเชนและบล็อกเชน ด้วยการพัฒนาของอุตสาหกรรมบล็อกเชนทั้งหมด เครือข่ายสาธารณะที่หลากหลายจึงเกิดขึ้นอย่างไม่รู้จบ เนื่องจากเครือข่ายสาธารณะเหล่านี้ไม่สามารถทำงานร่วมกันได้ สะพานข้ามสายโซ่ที่สามารถสื่อสารถึงกันได้จึงมีความสำคัญมากขึ้นเรื่อยๆ

    ในการโจมตีครั้งนี้ แฮกเกอร์ไม่ได้ใช้ช่องโหว่ของสัญญาอัจฉริยะเพื่อโจมตี แต่โจมตีสะพานข้ามสายระหว่าง Ronin และ Ethereum และวิธีการโจมตียังค่อนข้างดั้งเดิม โดยขโมยคีย์ส่วนตัวของโหนดตรวจสอบความถูกต้องของสะพานข้ามสายโซ่หลายโหนดโดยตรง ในปัจจุบัน โครงการสะพานข้ามสายจำนวนมากใช้เทคโนโลยีมัลติซิกเนเจอร์ที่คล้ายกับสะพานโรนิน และโครงการเหล่านี้ยังเผชิญกับความเสี่ยงที่คล้ายคลึงกันที่จะถูกแฮ็ก หลังจากการตรวจสอบรหัสที่ค่อนข้างเข้มงวด ความปลอดภัยของบล็อคเชนเองก็ได้รับการรับประกัน และสะพานข้ามสายโซ่ที่มี TVL ที่สูงมากได้กลายเป็น "จุดอ่อนจุดอ่อน" ที่คุกคามความปลอดภัยของบล็อคเชน

    จากข้อมูลของ Dune Analytics พบว่า Ethereum cross-chain bridge TVL เพียงอย่างเดียวมีมูลค่าถึง 21.06 พันล้านดอลลาร์ ในหมู่พวกเขา TVL ของ Polygon, Avalanche, Arbitrum, Fantom และ Near cross-chain bridges มีมูลค่าเกิน 1 พันล้านดอลลาร์ โครงการสะพานข้ามสายที่มีมูลค่าสูงและง่ายต่อการโจมตีเหล่านี้ได้กลายเป็นเป้าหมายที่ร้ายแรงของแฮ็กเกอร์จำนวนมาก


    อันที่จริง ในช่วงหลายเดือนที่ผ่านมา มีแฮ็กเกอร์โจมตีสะพานข้ามสายโซ่หลายครั้ง เมื่อวันที่ 27 มกราคม พ.ศ. 2565 Qubit Bridge ถูกแฮ็กและมีการโอนเงินจำนวน USD ออกไปในที่สุด เมื่อวันที่ 2 กุมภาพันธ์ Wormhole Bridge ก็ถูกแฮ็กเช่นกันและสูญเสียเงินไป 320 ล้านดอลลาร์; เมื่อวันที่ 5 กุมภาพันธ์ สะพานข้ามสายอื่นคือสะพาน Meter.io เสียเงิน 4.2 ล้านดอลลาร์ในมือของแฮ็กเกอร์


    เมื่อวันที่ 5 มกราคม 2022 Vitalik ผู้ก่อตั้ง Ethereum กล่าวใน Reddit ว่าอนาคตของ blockchain คือ "multi-chain" แทนที่จะเป็น "cross-chain" และเน้นปัญหาด้านความปลอดภัยของ cross-chain ในบล็อคเชนเดียว แม้ในกรณีที่เลวร้ายที่สุด ก็ยังสามารถกู้คืนบล็อคเชนกลับสู่สถานะเดิมได้ เมื่อมีส่วนเกี่ยวข้องกับ cross-chain ปัญหาก็ยากที่จะแก้ไข


    บทสรุป


    การรักษาความปลอดภัย DeFi เป็นปัญหาหลักในการใช้งานบล็อกเชนอย่างกว้างขวาง ในโลกของ “รหัสคือกฎหมาย” หากมีช่องโหว่ในกฎก็จะเลวร้ายเกินไป ด้วยการปรับปรุงเทคโนโลยีที่เกี่ยวข้อง เราหวังเป็นอย่างยิ่งว่าโลกที่มีการกระจายอำนาจที่ปลอดภัยกว่าจะมาถึงโดยเร็วที่สุด



    ผู้แต่ง: Gate.io นักวิจัย: Edward H. ผู้แปล: Joy Z.
    * บทความนี้เป็นเพียงความคิดเห็นของผู้วิจัยเท่านั้น และไม่ถือเป็นข้อเสนอแนะในการลงทุนใดๆ
    *Gate.io ขอสงวนสิทธิ์ทั้งหมดในบทความนี้ อนุญาตให้โพสต์บทความใหม่ได้หากมีการอ้างอิง Gate.io ในกรณีอื่นๆ ทั้งหมด จะดำเนินการทางกฎหมายเนื่องจากการละเมิดลิขสิทธิ์



    Gate.io บทความแนะนำ
    ทำไมสะพานโซ่ข้ามจึงสำคัญ
    TheDAO Theft:อธิบายเรื่องราวของ Ethereum Hard Fork
    เปิดตัว Aave V3 นำกลุ่ม DeFi อย่างทรงพลัง
    BTC/USDT -0.64%
    AXS/USDT + 6.72%
    RON/USDT + 4.03%
    แกะกล่องลุ้นโชคของคุณและรับรางวัล $6666
    ลงทะเบียนตอนนี้
    รับ 20 พ้อยท์ตอนนี้
    สิทธิพิเศษสำหรับผู้ใช้ใหม่: ทำ 2 ขั้นตอนเพื่อรับพ้อยท์ทันที!

    🔑 ลงทะเบียนบัญชีกับ Gate.io

    👨‍💼 ดำเนินการ KYC ให้เสร็จสิ้นภายใน 24 ชั่วโมง

    🎁 รับรางวัลพ้อยท์สะสม

    รับสิทธิ์เลย
    ภาษาและภูมิภาค
    อัตราซื้อขาย

    เลือกภาษาและภูมิภาค

    ต้องการไปที่ Gate.TR?
    Gate.TR ออนไลน์อยู่ในขณะนี้
    คุณสามารถคลิกและไปที่ Gate.TR หรืออยู่ที่ Gate.io