มีการระบุช่องโหว่ด้านความปลอดภัยบนเครือข่ายบน Ethereum blockchain แฮกเกอร์ใช้ประโยชน์จากการละเมิดเพื่อรับสินทรัพย์ดิจิทัล ไม่นานหลังจากการควบรวมกิจการ สกุลเงินดิจิทัลที่มีค่าที่สุดเป็นอันดับสองในตลาดกลายเป็นช่องโหว่หรือไม่? เราเก็บสต๊อก.
Ethereum ประสบความสำเร็จในการย้ายจาก Proof of Work (PoW) ไปเป็น Proof of Stake (PoS)- ไม่กี่วันหลังจากการเปลี่ยนแปลงอัลกอริทึมที่เป็นเอกฉันท์ การแฮ็กก็เกิดขึ้นอีเธอเรียม PoWซึ่งเป็นทางแยกของ Ethereum blockchain นี่เป็นเวอร์ชันของเครือข่ายที่อัลกอริทึมที่เป็นเอกฉันท์ไม่มีการเปลี่ยนแปลง มันยังคงทำงานบนพื้นฐานของ PoW และนักขุดยังคงมีบทบาทสำคัญในการเล่น
หากต้องการแลกเปลี่ยนสกุลเงินดิจิทัลจากบล็อกเชนหลักไปเป็นทางแยก หรือในทางกลับกัน ผู้ใช้จะต้องทำผ่านสะพาน- โปรโตคอลเหล่านี้อนุญาตให้ถ่ายโอนสินทรัพย์จากบล็อกเชนหนึ่งไปยังอีกบล็อกหนึ่งได้ ในระหว่างกระบวนการนี้ สกุลเงินดิจิตอลที่ฝากไว้จะถูกล็อคเข้ากับสัญญาอัจฉริยะ ในเวลาเดียวกัน จะมีการออกสกุลเงินที่เทียบเท่ากับที่ถูกบล็อกบนบล็อกเชนปลายทาง ด้วยวิธีนี้ผู้ใช้สามารถใช้การถือครองของตนบนบล็อกเชนอื่นได้ ในกรณีนี้ พวกเขาสามารถใช้โทเค็น ETHW บนเชนหลักหรือในทางกลับกัน
ใช่ แต่นี่มัน: ในวันอาทิตย์ที่ 18 กันยายน 2022 สามวันหลังจากการรวมกลุ่มแฮกเกอร์โจมตีOmniBridgeซึ่งเป็นหนึ่งในสะพานที่เชื่อมต่อหลายเครือข่าย รวมถึงบล็อกเชน Ethereum การโจมตีดังกล่าวได้รับการระบุอย่างรวดเร็วโดยนักวิจัยจาก BlockSec ซึ่งเป็นผู้เชี่ยวชาญด้านความปลอดภัยบล็อคเชน
1/ การแจ้งเตือน | BlockSec ตรวจพบว่าผู้โจมตีกำลังเล่นข้อความ (calldata) ของเครือข่าย PoS ซ้ำ@EthereumPow.- สาเหตุหลักของการใช้ประโยชน์คือบริดจ์ไม่ได้ตรวจสอบ chainid จริง (ซึ่งดูแลด้วยตัวเอง) ของข้อความ cross-chain อย่างถูกต้อง
— BlockSec (@BlockSecTeam)18 กันยายน 2022
แฮ็กเกอร์สามารถใช้ประโยชน์จากข้อบกพร่องในการทำงานของ Omnibridge ได้เพิ่มจำนวน cryptocurrencies ที่ฝากเป็นสองเท่า- แฮกเกอร์ฝาก 200 ETH ไว้บนสะพาน เขาถอนพวกมันออกอย่างรวดเร็ว แต่ต้องขอบคุณการละเมิดที่ทำให้เขาได้รับ 200 ETHW จากบล็อคเชน Ethereum PoW เห็นได้ชัดว่าเขาสามารถออกไปด้วยสกุลเงินดิจิทัลโดยไม่ต้องอายัดทรัพย์สินของเขาในสัญญาที่ชาญฉลาด เงินจึงถูกทำซ้ำ ผู้โจมตีทำเงินได้ระหว่าง 8 ถึง 10,000 เหรียญสหรัฐในกระบวนการนี้
อ่านเพิ่มเติม:เหตุใดจึงไม่ทำกำไรจากการขุด cryptocurrencies ด้วยกราฟิกการ์ดอีกต่อไป
สะพานเชื่อมระหว่างทางแยก จุดอ่อนใน Ethereum?
ในโพสต์ในบล็อกนักพัฒนา Ethereum PoW ย้ำว่าข้อบกพร่องไม่ได้อยู่ที่ระดับบล็อคเชน การละเมิดซึ่งทำให้สามารถทำซ้ำ cryptocurrencies ได้นั้นมาจากสัญญาอัจฉริยะบน Omnibridge Bridge
“ไม่มีการโจมตีซ้ำจาก ETHPoS ไปยัง ETHPoS ซึ่งวิศวกรความปลอดภัยของ ETHW Core คาดการณ์ไว้”อธิบายผู้พัฒนา ETH PoW
สะพานจึงต้องรับผิดชอบต่อการโจมตี ดังที่ผู้เชี่ยวชาญของ Chainalysis รายงาน-“สะพานเป็นเป้าหมายสำคัญสำหรับแฮกเกอร์ เพราะพวกเขามักจะโฮสต์พื้นที่จัดเก็บข้อมูลส่วนกลางซึ่งมีการฝาก cryptos ที่ใช้เพื่อรองรับสกุลเงินที่ออกในบล็อคเชนที่รับ”
แฮ็กส่วนใหญ่บันทึกไว้ปีนี้กำหนดเป้าหมายไปที่สะพานด้วย ฤดูร้อนนี้ ระบบนิเวศถูกทำเครื่องหมายเป็นพิเศษโดยแฮ็คเร่ร่อนซึ่งส่งผลให้สกุลเงินดิจิทัลหายไปถึง 190 ล้านดอลลาร์ ในกรณีของ Nomad การละเมิดดังกล่าวเกิดขึ้นจากการอัพเดตสัญญาอันชาญฉลาดของบริดจ์ เมื่อเร็ว ๆ นี้ พบข้อบกพร่องที่สำคัญใน Arbitrum Bridge ที่เชื่อมต่อกับ Ethereum โจรสลัดอาจขโมยเงินระหว่างการขนส่งบนสะพานได้ โชคดีที่ช่องโหว่ถูกปิดก่อนที่แฮ็กเกอร์จะโจมตีมัน
เวกเตอร์การโจมตีอื่นๆ
หลังจาก The Merge นักขุดจะไม่ใช่ผู้ทำธุรกรรมที่ปลอดภัยบนบล็อกเชน Ethereum อีกต่อไป ตอนนี้เหล่านี้คือผู้ตรวจสอบความถูกต้องซึ่งมีหน้าที่รับผิดชอบในการรักษาความปลอดภัยเครือข่าย ในการเป็นผู้ตรวจสอบความถูกต้อง จำเป็นต้องมีอย่างน้อย 32 อีเทอร์ โทเค็นเหล่านี้จะถูกฝากไว้เป็นหลักประกัน เครื่องมือตรวจสอบจะได้รับรางวัลเป็น ETH เช่นเดียวกับนักขุดก่อนการรวม
« การปักหลัก(หมายเหตุบรรณาธิการ: บุคคล)เกี่ยวข้องกับชุมชนผู้พิทักษ์ Ethereum โดยเฉพาะซึ่งมีทักษะทางเทคนิคที่แข็งแกร่ง มันไม่ได้มอบให้กับทุกคน การเข้าถึงไม่ใช่เรื่องง่าย »เสียใจที่ Gilles Cadignan ผู้ก่อตั้ง Woleet ซึ่งเป็นสตาร์ทอัพที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ในระหว่างการให้สัมภาษณ์กับ 01Net
นี่คือสาเหตุที่ผู้ตรวจสอบส่วนใหญ่ผ่านแพลตฟอร์มการปักหลักแบบรวมศูนย์- การแลกเปลี่ยนสกุลเงินดิจิทัลหลายแห่งเสนอบริการการเดิมพัน นี่เป็นกรณีของ Coinbase, Binance, BlockFi และแม้แต่ Kraken หลังจากการควบรวมกิจการ การจัดการความปลอดภัยของ Ethereum blockchain จึงกลายเป็นแบบรวมศูนย์อย่างมาก ปรากฏการณ์นี้ได้รับการคาดหวังอย่างกว้างขวางจากนักพัฒนา โดยระบุถึงผู้ก่อตั้ง Woleet
“เมื่อ Merge ผ่านไป จากทั้งหมด 1,000 บล็อก มี 420 บล็อกที่ได้รับการตรวจสอบโดยสองที่อยู่”เน้นย้ำกิลส์ คาดิกนัน
เราพบว่าในบรรดาหน่วยงานที่มุ่งความสนใจไปที่การปักหลักเป็นส่วนใหญ่ลิโด้- นี่คือบริการที่ช่วยให้ทุกคนสามารถเป็นผู้ตรวจสอบความถูกต้องของ Ethereum ได้ โปรโตคอลดังกล่าวดึงดูดนักลงทุนจำนวนมากที่ต้องการขยายสินทรัพย์ของตน เป็นผลให้ Lido เริ่มยึดครองตลาดการตรวจสอบความถูกต้องของ Ethereum เพียง 30% โปรดทราบว่าสินทรัพย์ส่วนใหญ่ที่ฝากไว้ใน Lido คือ Ether จากเงินเดิมพัน 7.8 พันล้านดอลลาร์ในโปรโตคอล 7.61 พันล้านดอลลาร์คือ ETH อย่างไรก็ตาม Lido ไม่ใช่ผู้เล่นแบบรวมศูนย์จริงๆ ซึ่งเป็นบริษัทที่ทำหน้าที่เป็นตัวกลางให้กับบริษัทเกือบ 30 แห่ง-
การมีอยู่ทั่วไปทุกหนทุกแห่งของแพลตฟอร์มการเดิมพันนั้นมาพร้อมกับ “ความเสี่ยงที่อาจเกิดขึ้นจากการเซ็นเซอร์ที่เชื่อมโยงกับกฎระเบียบ », โดยประมาณออกไปlhamid Bakhta ผู้พัฒนา Ethereum โดยชัดแจ้ง หน่วยงาน เช่น รัฐบาล สามารถทำได้กดดันผู้ตรวจสอบความถูกต้องเพื่อผลักดันให้เขาปฏิเสธการทำธุรกรรม ตามทฤษฎีแล้ว เครื่องมือตรวจสอบเช่น Lido อาจจำเป็น-ยื่นต่อกฎระเบียบ », ซีอีโอของ Woleet กล่าวเสริม
หลังจากการควบรวมกิจการ สหรัฐฯ ยังได้พิจารณาเรื่องดังกล่าวด้วยEthereum blockchain ขึ้นอยู่กับกฎหมายของอเมริกา- เทla สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.)ตำรวจการเงินชาวอเมริกัน ธุรกรรมทั้งหมดที่ดำเนินการบน Ethereum ถือว่าเกิดขึ้นในสหรัฐอเมริกา หน่วยงานกำกับดูแลให้เหตุผลโดยเน้นว่าเครื่องมือตรวจสอบความถูกต้องส่วนใหญ่อยู่ในดินแดนของอเมริกา ดังที่แสดงโดย Etherscan ไซต์ที่ให้คุณสำรวจบล็อคเชนมากกว่า 45% ของโหนดอันที่จริงเป็นเจ้าภาพในอาณาเขตของประเทศ ผู้ตรวจสอบจะต้องปฏิบัติตามกฎหมายอเมริกันในอนาคตหรือไม่?
Ethereum บล็อกเชนที่มีความซับซ้อนเกินไปเหรอ?
เมื่อถูกถามโดยเรา Gilles Cadignan ยังกล่าวถึงไม่มีอะไรที่เป็นเดิมพันหรือ “ไม่มีอะไรจะเสีย”, “ปัญหาที่รู้จักกันดีสำหรับผู้ชื่นชอบอัลกอริธึมที่เป็นเอกฉันท์ »- ข้อบกพร่องนี้มีอยู่ใน Proof of Stake ประกอบด้วยการตรวจสอบธุรกรรมบน blockchain สองทาง เพื่อป้องกันไม่ให้ผู้ตรวจสอบตรวจสอบความถูกต้องของบล็อกในสองเครือข่าย นักพัฒนาจึงได้นำเจ็บแสบ- มันเป็นเรื่องเกี่ยวกับมีระบบการลงโทษซึ่งจะลงโทษผู้ตรวจสอบความถูกต้องที่ต้องการตรวจสอบความถูกต้องของบล็อกในหลายสาขาพร้อมกัน
ด้วยการเพิ่มลักษณะนี้ การควบรวมกิจการของ Ethereum คงจะมีผลอย่างมากทำให้โค้ดบล็อคเชนซับซ้อนขึ้น- ความซับซ้อนที่เพิ่มขึ้นนี้จะเปิดประตูสู่การค้นพบช่องโหว่ที่อาจเกิดขึ้นได้ในอนาคต นอกจากนี้, "การเปลี่ยนแปลงที่รุนแรงอย่างต่อเนื่อง -ที่กำหนดโดยนักพัฒนา Ethereum และการใช้ forks จำนวนมากอาจเสี่ยงต่อการทำให้โครงสร้างพื้นฐานอ่อนแอลง
-ความซับซ้อนเป็นศัตรูของความปลอดภัย ยิ่งมีความซับซ้อนมากเท่าใด ความเสี่ยงที่จะเกิดข้อบกพร่องก็จะมากขึ้นเท่านั้น และ Ether เมื่อใช้ PoS มันยิ่งซับซ้อนยิ่งขึ้น และมีโค้ดหลายบรรทัดมากขึ้น ฉันคิดว่ามีโค้ดมากกว่า 100 บรรทัดมันไปทุกทิศทุกทาง » กิลส์ คาดิกนัน อธิบายโดยเน้นว่ามีอยู่แค่นั้นก็เพียงพอแล้ว“ปัญหาเดียวที่จะทำให้ทุกอย่างมารวมกัน”-
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
