TL;ดร
- TRM Labs กล่าวว่า Token of Energy ถูกนำไปใช้ประโยชน์ประมาณ 1.58 ล้านดอลลาร์ใน WETH
- ผู้โจมตีใช้การตั้งค่าการกำกับดูแลที่ไม่มีการล็อคเวลาเพื่อเสนอ โหวต และดำเนินการในบล็อคเดียว
- Twister Money ถูกใช้เพื่อการระดมทุนและการกำหนดเส้นทาง แต่ Twister Money เองก็ไม่ได้ถูกแฮ็ก
TRM ให้รายละเอียดการครอบครองการกำกับดูแล
TRM Labs บริษัทข่าวกรองบล็อกเชนได้ให้รายละเอียดเกี่ยวกับการใช้ประโยชน์จากการกำกับดูแลกับโปรโตคอล Token of Energy ที่ใช้เงินประมาณ 1.58 ล้านดอลลาร์ใน WETH
จากการวิเคราะห์ของ TRM ผู้โจมตีใช้ประโยชน์จากจุดอ่อนในการตั้งค่า Aragon DAO ของโปรโตคอล นั่นคือ การไม่มีการล็อคเวลา ซึ่งช่วยให้ผู้โจมตีสามารถเสนอ ลงคะแนน และดำเนินการกำกับดูแลที่เป็นอันตรายได้ในบล็อคเดียว
มีรายงานว่าผู้โจมตีให้ทุนสนับสนุนการดำเนินการด้วย 662 ETH ที่ถอนออกจาก Twister Money, ซื้อโทเค็น TOP เพียงพอเพื่อให้ได้รับอำนาจในการลงคะแนนเสียงข้างมาก, สร้าง TOP ใหม่จำนวน 10 พันล้านเหรียญ และแลกเปลี่ยนโทเค็นเหล่านั้นเป็น WETH ผ่าน Balancer Pool ก่อนที่จะกำหนดเส้นทางเงินทุนกลับผ่าน Twister Money
เหตุใด Timelocks จึงมีความสำคัญ
การใช้ประโยชน์เป็นตัวอย่างที่ชัดเจนว่าการออกแบบการกำกับดูแลสามารถกลายเป็นความเสี่ยงด้านความปลอดภัยโดยตรงได้อย่างไร การลงคะแนนด้วยโทเค็นอาจดูมีการกระจายอำนาจบนกระดาษ แต่หากผู้ไม่ประสงค์ดีสามารถซื้ออำนาจการลงคะแนนได้อย่างรวดเร็วและดำเนินการเปลี่ยนแปลงโดยไม่ชักช้า ระบบการกำกับดูแลก็อาจกลายเป็นพื้นที่การโจมตีได้
Timelocks มีไว้เพื่อให้ผู้ใช้ นักพัฒนา และทีมรักษาความปลอดภัยมีเวลาตอบสนองก่อนที่ข้อเสนอจะปฏิบัติการได้ โดยไม่ชักช้า การลงคะแนนที่ไม่เป็นมิตรอาจกลายเป็นท่อระบายน้ำก่อนที่ใครก็ตามจะหยุดได้
ทำไมเรื่องนี้ถึงสำคัญ
สำหรับผู้ใช้ DeFi เรื่องราวนี้เป็นเครื่องเตือนใจว่าความเสี่ยงของสัญญาอัจฉริยะไม่ได้จำกัดอยู่เพียงข้อบกพร่องของโค้ด พารามิเตอร์การกำกับดูแล การควบคุมคลัง และเกณฑ์การลงคะแนนก็มีความสำคัญไม่แพ้กัน
นอกจากนี้ยังเน้นย้ำถึงวิธีการใช้มิกเซอร์และพูลสภาพคล่องในการหาประโยชน์โดยไม่ต้องเป็นโปรโตคอลที่ถูกหาประโยชน์เอง
สิ่งที่ต้องดูต่อไป
สิ่งต่อไปที่ต้องจับตาก็คือ เงินที่ถูกขโมยจะเคลื่อนไหวอีกครั้งหรือไม่ และโปรโตคอล Aragon หรือผู้ให้บริการสภาพคล่องที่ได้รับผลกระทบจะเผยแพร่รายละเอียดการแก้ไขเพิ่มเติมหรือไม่
บทความนี้ต้องไม่บอกว่า Twister Money ถูกแฮ็ก
บริบทของตลาด
สำหรับ Bitcoinist เรื่องราวอยู่ในการเปลี่ยนแปลงที่กว้างขึ้นในสกุลเงินดิจิทัล ซึ่งโครงสร้างพื้นฐาน ความปลอดภัย การกำกับดูแล และอรรถประโยชน์โทเค็น มีความสำคัญพอๆ กับการเคลื่อนไหวของราคาในระยะสั้น ผู้ค้ายังคงให้ความสำคัญกับโมเมนตัม แต่พวกเขายังต้องเข้าใจระบบ ความเสี่ยง และการเปลี่ยนแปลงของผลิตภัณฑ์ที่อยู่เบื้องหลังหัวข้อข่าวด้วย
มุมมองที่เป็นประโยชน์ไม่ใช่การพูดเกินจริงในการพัฒนา แต่เพื่ออธิบายว่าทำไมมันถึงอยู่ในการสนทนาในตลาดรายวัน เรื่องราวของ crypto ที่แข็งแกร่งมากขึ้นเรื่อยๆ มาจากการอัปเดตโปรโตคอล ประกาศอย่างเป็นทางการ รายงานความปลอดภัย บันทึกของศาล และข้อมูลออนไลน์ แทนที่จะนำคำอธิบายกลับมาใช้ใหม่เพียงอย่างเดียว
บทบรรณาธิการควรมีเหตุผล: แหล่งที่มายืนยันการพัฒนา crypto ที่มีความหมาย แต่ผลกระทบขึ้นอยู่กับการยอมรับ การเปิดเผยการติดตามผล หรือหลักฐานในห่วงโซ่เพิ่มเติม ความสมดุลดังกล่าวช่วยให้ผลงานชิ้นนี้มีประโยชน์โดยไม่ต้องอาศัยการโฆษณาเกินจริงหรือการกล่าวอ้างที่ไม่ได้รับการสนับสนุน
จากมุมมองของบรรณาธิการ สิ่งนี้ทำให้เรื่องราวคุ้มค่าที่จะกล่าวถึงโดยเป็นส่วนหนึ่งของสภาพแวดล้อมการดำเนินงาน crypto ที่กว้างขึ้นในแต่ละวัน แทนที่จะเป็นวงจรการโฆษณาแบบสแตนด์อโลน ผลงานที่แข็งแกร่งที่สุดควรอยู่ใกล้กับแหล่งที่มาที่ได้รับการตรวจสอบ อธิบายความเสี่ยงหรือโอกาสในทางปฏิบัติ และปล่อยให้มีที่ว่างสำหรับการติดตามผลเมื่อมีข้อมูลที่เป็นทางการ เอกสารยื่น หรือคำแถลงโครงการอีกครั้ง
รายงานนี้จัดทำขึ้นโดยอาศัยข้อมูลจาก รายงานความปลอดภัยออนไลน์ของ TRM Labs.
กระบวนการบรรณาธิการ สำหรับ bitcoinist มุ่งเน้นไปที่การนำเสนอเนื้อหาที่ได้รับการวิจัยอย่างละเอียด ถูกต้อง และเป็นกลาง เรารักษามาตรฐานการจัดหาที่เข้มงวด และแต่ละหน้าได้รับการตรวจสอบอย่างเข้มงวดโดยทีมผู้เชี่ยวชาญด้านเทคโนโลยีชั้นนำและบรรณาธิการผู้ช่ำชองของเรา กระบวนการนี้ทำให้มั่นใจในความสมบูรณ์ ความเกี่ยวข้อง และคุณค่าของเนื้อหาของเราสำหรับผู้อ่านของเรา
