• การแจ้งเตือน ตลาดและราคา
      ดูเพิ่มเติม
    • เปลี่ยนอัตราการซื้อขายและภาษา
    • การตั้งค่ากําหนด
      ปรับเปลี่ยนสีชาร์ตแท่งเทียน
      เวลาเริ่มต้นการเปลี่ยนแปลง%
    Web3 เอ็กซ์เชนจ์
    Gate บล็อก

    ประตูสู่ข่าวสารและข้อมูลเชิงลึกเกี่ยวกับคริปโต

    Gate.io บล็อก OMNI ซึ่งเป็นโปรโตคอล NFT สูญเสีย 1300ETH ในการโจมตีแบบ Reentrancy

    OMNI ซึ่งเป็นโปรโตคอล NFT สูญเสีย 1300ETH ในการโจมตีแบบ Reentrancy

    25 July 16:08


    TL: DR

    - OMNI โปรโตคอล NFT พบการละเมิด และ 1,300 ETH ในกองทุนถูกขโมย

    - ผู้โจมตีใช้การโจมตีแบบ reentrancy ซึ่งเป็นวิธีการที่ใช้ในการใช้ประโยชน์จากข้อบกพร่องในสัญญาอัจฉริยะ

    - พื้นที่ NFT ยังคงเป็นเป้าหมายยอดนิยมสำหรับผู้ไม่หวังดีที่แสวงหาโอกาสในการโจมตีระบบและขโมยเงินทุกที่ที่ทำได้


    คำสำคัญ: OMNI, NFT, Reentrancy, แฮ็ก, โปรโตคอล, กองทุนทดสอบ


    เมื่อวันที่ 10 กรกฎาคม พ.ศ. 2565 โปรโตคอล NFT OMNI ประสบกับการโจมตี และสูญเสีย 1,300 ETH ตามตลาด NFT ไม่มีเงินของผู้ใช้ได้รับผลกระทบ ทีม OMNI อธิบายเพิ่มเติมว่าโปรโตคอลยังอยู่ในช่วงเบต้าในขณะที่ถูกระงับ และเสริมว่าขณะนี้กำลังสืบสวนสาเหตุของการโจมตี อย่างไรก็ตาม บริษัทรักษาความปลอดภัยบล็อกเชน PeckShield กล่าวในภายหลังว่าดูเหมือนว่าจะเป็นการโจมตีที่เกี่ยวข้องกับการกลับเข้ามาใหม่ ทีม OMNI ยังไม่ได้ทำการตรวจสอบอย่างละเอียดและการชันสูตรการโจมตี


    OMNI ทวีต


    มีการโจมตีหลายครั้งในพื้นที่ DeFi และ NFT โดยผู้ร้ายขโมยเงินหลายร้อยล้านดอลลาร์

    OMNI เป็นตลาดเงิน NFT ที่ให้บริการสินเชื่อและการกู้ยืม ผู้ใช้สามารถรับดอกเบี้ยโดยการให้ยืม NFT และโทเค็น ERC-20 อื่นๆ ทรัพย์สินยังสามารถใช้เป็นหลักประกันเงินกู้ได้

    การโจมตีหลายครั้งเกิดขึ้นในพื้นที่ DeFi และ NFT โดยมีผู้ไม่หวังดีขโมยเงินไปหลายร้อยล้านดอลลาร์

    OMNI เป็นตลาดเงิน NFT ที่ให้บริการสินเชื่อและการกู้ยืม ผู้ใช้สามารถรับดอกเบี้ยโดยการให้ยืม NFT และโทเค็น ERC-20 อื่นๆ ทรัพย์สินยังสามารถใช้เป็นหลักประกันเงินกู้ได้



    NFT และ Cyber Attack



    แม้ว่ายอดขายจะชะลอตัว แต่ตลาด NFT ยังคงเป็นหนึ่งในกลุ่มที่มีความเคลื่อนไหวมากที่สุดในอุตสาหกรรมสกุลเงินดิจิทัล เป็นผลให้แฮ็กเกอร์ได้รับการจัดอันดับให้เป็นเป้าหมายสูงสุดสำหรับแฮ็กเกอร์ที่แสวงหาโอกาสในการโจมตีระบบและขโมยเงินทุกที่ที่ทำได้


    เหตุการณ์ดังกล่าวเกิดขึ้นหลายครั้งในปีนี้ XCarnival ซึ่งเป็นกลุ่มสินเชื่อ NFT สูญเสียเงินไปประมาณ 4 ล้านดอลลาร์จากการโจมตี แม้ว่าแฮ็กเกอร์จะได้รับรางวัล 1,500 ETH ก็ตาม มีการพยายามฟิชชิ่งหลายครั้งกับ Bored Ape Yacht Club โดยกำหนดเป้าหมายไปที่ Discord และแพลตฟอร์มโซเชียลมีเดียอื่นๆ


    เหตุการณ์ที่น่าสังเกตมากที่สุดในพื้นที่นี้คือแฮ็ก Ronin Bridge ซึ่งส่งผลให้มีการโจรกรรมมากกว่า 600 ล้านเหรียญ นักวิเคราะห์เชื่อว่าแฮ็กเกอร์ชาวเกาหลีเหนืออยู่เบื้องหลังเหตุการณ์นี้ อย่างไรก็ตาม เนื่องจากตลาดตกต่ำเมื่อเร็วๆ นี้ มูลค่าของสกุลเงินดิจิทัลที่ถูกขโมยของเกาหลีเหนือจึงลดลงอย่างมาก



    Reentrancy Attack คืออะไร?



    Reentrancy เป็นคำที่ใช้ในการคำนวณเป็นเวลาหลายปีเพื่ออธิบายกระบวนการที่กระบวนการสามารถถูกขัดจังหวะระหว่างการดำเนินการ เหตุการณ์ที่แตกต่างกันของฟังก์ชันเดียวกันสามารถเริ่มต้นได้ และทั้งสองกระบวนการสามารถทำงานจนเสร็จสิ้นได้ ทุกวัน เราใช้ฟังก์ชัน reentrant เพื่อคำนวณอย่างปลอดภัย ตัวอย่างที่ดีอย่างหนึ่งคือความสามารถในการเริ่มร่างอีเมลบนเซิร์ฟเวอร์ ออกจากอีเมลเพื่อส่งอีเมลอื่น จากนั้นกลับไปที่ฉบับร่างเพื่อดำเนินการให้เสร็จสิ้นและส่ง


    พิจารณา ระบบธนาคารออนไลน์ที่ออกแบบมาไม่ดีสำหรับการโอนเงินผ่านธนาคาร ซึ่งจะมีการตรวจสอบยอดคงเหลือในบัญชีระหว่างขั้นตอนการเริ่มต้นเท่านั้น ผู้ใช้สามารถเริ่มการโอนได้หลายครั้งโดยไม่ต้องส่งรายการใดเลย ระบบธนาคารจะยืนยันว่าบัญชีของผู้ใช้มีเงินเพียงพอสำหรับการโอนแต่ละครั้ง หากไม่มีการตรวจสอบเพิ่มเติมในขณะที่ส่งจริง ผู้ใช้อาจส่งธุรกรรมทั้งหมดและเกินยอดคงเหลือของพวกเขา



    ตัวอย่างของ Reentrancy Attack



    DAO Hack

    ตัวอย่างที่รู้จักกันดีที่สุดของการโจมตีแบบ reentrancy เกิดขึ้นในปี 2559 เมื่อ DAO ของ Ethereum (องค์กรอิสระที่กระจายอำนาจ) ถูกแฮ็กด้วยเงิน 60 ล้านดอลลาร์ใน Ether สำหรับผู้ที่ไม่คุ้นเคย DAO ของ Ethereum เป็นโครงการที่ออกแบบมาเพื่อทำหน้าที่เป็นบริษัทร่วมทุนที่กำกับโดยนักลงทุน ซึ่งสมาชิกเครือข่ายสามารถโหวตโปรเจ็กต์ที่จะลงทุนได้


    DAO ระดมทุนได้ 150 ล้านดอลลาร์อย่างไม่น่าเชื่อในโครงการคราวด์ฟันดิ้งที่ประสบความสำเร็จมากที่สุดโครงการหนึ่งในประวัติศาสตร์ อย่างไรก็ตาม นักวิทยาศาสตร์คอมพิวเตอร์และคนอื่นๆ ในชุมชนกังวลว่าสัญญาอัจฉริยะที่ถือกองทุนมีความเสี่ยงที่จะถูกโจมตีซ้ำเนื่องจากข้อผิดพลาดการโทรซ้ำในโค้ด


    การแฮ็ก DAO ได้กลายเป็นจุดเปลี่ยนสำคัญในประวัติศาสตร์บล็อคเชน ไม่น้อยเพราะมันทำให้เกิด Ethereum hard fork เพื่อเรียกคืนเงิน ทำให้เกิด Ethereum Classic ในกระบวนการนี้ นอกจากนี้ยังเป็นประสบการณ์การเรียนรู้ที่แท้จริงสำหรับการรักษาความปลอดภัยบล็อกเชน โดยช่องโหว่ในการกลับเข้ามาใหม่เป็นการเช็คอินมาตรฐานสำหรับการตรวจสอบสัญญาอัจฉริยะระดับมืออาชีพ


    Lendf.me Protocol

    แฮ็กเกอร์ใช้การโจมตีอีกครั้งในวันที่ 18 เมษายน 2020 เพื่อขโมยเงิน 25 ล้านดอลลาร์จาก Lendf.me Protocol ซึ่งเป็นโปรโตคอลการเงินแบบเข้ารหัสลับที่ออกแบบมาเพื่อรองรับการดำเนินการให้กู้ยืมบนแพลตฟอร์ม Ethereum ผู้โจมตีใช้ประโยชน์จากข้อบกพร่องในแพลตฟอร์ม Lendf.me ที่อนุญาตให้ใช้โทเค็น ERC777 ซึ่งเป็นมาตรฐานโทเค็น Ethereum สำหรับการโต้ตอบที่ซับซ้อนยิ่งขึ้นเมื่อทำการซื้อขายโทเค็น เพื่อนำไปใช้เป็นหลักประกัน นักพัฒนาไม่สามารถสังเกตเห็นว่าโทเค็น ERC777 มีฟังก์ชันการโทรกลับที่แจ้งเตือนผู้ใช้เมื่อมีการส่งหรือรับเงิน แฮกเกอร์สามารถใช้ประโยชน์จากมาตรฐานโทเค็นที่ปลอดภัยนี้ด้วยการโจมตีซ้ำที่ซับซ้อนโดยให้ผู้รับเป็นสัญญาที่ชาญฉลาด ทำให้แพลตฟอร์ม Lendf.me หมดไป 99.5 เปอร์เซ็นต์ของเงินทุน



    วิธีที่เป็นไปได้ในการป้องกัน Reentrancy Attack



    ขั้นแรก คุณต้องมีการตรวจสอบสัญญาอัจฉริยะของบุคคลที่สามที่ดำเนินการในโครงการของคุณ ขั้นตอนนี้เป็นหนึ่งในขั้นตอนที่มีประสิทธิภาพมากที่สุด นอกจากนี้ นักพัฒนาที่ต้องการป้องกัน Reentrancy Attack ควรใส่ใจกับโครงสร้างของโค้ดของตนอย่างใกล้ชิด โดยเฉพาะอย่างยิ่งในสัญญาอัจฉริยะใดๆ ที่มีฟังก์ชันเรียกกลับ บ่อยครั้ง หากการตรวจสอบสัญญาอัจฉริยะระบุว่าโครงการมีความเสี่ยงที่จะถูกโจมตีซ้ำ พวกเขาจะแนะนำให้ปรับโครงสร้างรหัสเพื่ออัปเดตยอดคงเหลือก่อนส่งเงิน มิฉะนั้น พวกเขาอาจแนะนำให้ใช้ฟังก์ชันอื่นสำหรับการโอนเงิน


    นักพัฒนาในพื้นที่ NFT และอุตสาหกรรมบล็อคเชนต้องปรับปรุงเกมในแง่ของความปลอดภัยและไม่เคยเสี่ยงกับโครงสร้างของโค้ดของพวกเขา ซึ่งสามารถผลักดันโครงการทั้งหมดให้ล่มสลายได้ OMNI โชคดีในครั้งนี้ แฮ็กเกอร์ขโมยเฉพาะกองทุนทดสอบภายในและไม่ใช่ทรัพย์สินที่มีค่าในครั้งนี้








    ผู้แต่ง: Gate.io ผู้สังเกตการณ์: M. Olatunji

    ข้อจำกัดความรับผิดชอบ:

    * บทความนี้เป็นเพียงความคิดเห็นของผู้สังเกตการณ์เท่านั้น และไม่ถือเป็นข้อเสนอแนะในการลงทุนใดๆ

    *Gate.io ขอสงวนสิทธิ์ทั้งหมดในบทความนี้ อนุญาตให้โพสต์บทความใหม่ได้หากมีการอ้างอิง Gate.io ในกรณีอื่นๆ ทั้งหมด จะดำเนินการทางกฎหมายเนื่องจากการละเมิดลิขสิทธิ์


    ETH/USDT + 7.29%
    BTC/USDT + 1.97%
    GT/USDT + 4.67%
    แกะกล่องลุ้นโชคของคุณและรับรางวัล $6666
    ลงทะเบียนตอนนี้
    รับ 20 พ้อยท์ตอนนี้
    สิทธิพิเศษสำหรับผู้ใช้ใหม่: ทำ 2 ขั้นตอนเพื่อรับพ้อยท์ทันที!

    🔑 ลงทะเบียนบัญชีกับ Gate.io

    👨‍💼 ดำเนินการ KYC ให้เสร็จสิ้นภายใน 24 ชั่วโมง

    🎁 รับรางวัลพ้อยท์สะสม

    รับสิทธิ์เลย
    ภาษาและภูมิภาค
    อัตราซื้อขาย

    เลือกภาษาและภูมิภาค

    ต้องการไปที่ Gate.TR?
    Gate.TR ออนไลน์อยู่ในขณะนี้
    คุณสามารถคลิกและไปที่ Gate.TR หรืออยู่ที่ Gate.io