โปรโตคอล DeFi ชื่อดัง bZx ถูกแฮคอีกครั้ง สูญเงิน 250 ล้านบาท เพราะโค้ดผิดพลาด

โปรโตคอลบนแพลทฟอร์มให้กู้ยืมเงินบน decentralized finance ( DeFi) ชื่อดังอย่าง bZx ดูเหมือนว่าจะถูกโจมตีอีกครั้งหนึ่งแล้วเมื่อช่วงคืนที่ผ่านมา โดยนักแฮ็คนั้นสามารถที่จะเจาะช่องโหว่ และนำเงินออกไปได้รวมกว่า 250 ล้านบาท เนื่องมาจากโค้ดที่ผิดพลาดบน smart contract

ช่องโหว่ในโค้ดดังกล่าวนั้นทำให้ผู้โจมตีสามารถคัดลอกและทำซ้ำสินทรัพย์ดิจิทัลเพื่อเพิ่มจำนวน iTokenz (เหรียญบน bZx) ได้ โดยหลังจากที่ทางนักพัฒนาค้นพบถึงบั๊กดังกล่าวนั้น พวกเขาได้ทำการหยุดการขุด และเผาเหรียญ iToken ทิ้ง หลังจากนั้นก็เปิดให้ขุดต่อหลังจากแก้ไขปัญหาแล้ว

บั๊กดังกล่าวทำให้นักแฮ็คสามารถสร้างเหรียญ​ 219,200 LINK (มูลค่าประมาณ 81.3 ล้านบาท), 4,503 ETH (50 ล้านบาท), 1,756,351 USDT (53.2 ล้านบาท), 1,412,048 USDC (43.8 ล้านบาท) และ 667,989 DAI (21.2 ล้านบาท) โดยภายหลังจากนั้นทาง bZx ออกมากล่าวว่าเงินของผู้ใช้งานแพลทฟอร์มนั้นปลอดภัยดี เนื่องจากว่าพวกเขามีเม็ดเงินที่กันไว้สำหรับป้องกันความเสี่ยงแล้ว

  • ผู้ใช้งานกระเป๋า Ledger ถูกขโมย Cryptocurrency มูลค่า 3 ล้านบาท ทั้ง ๆ ที่เก็บไว้ในตู้เซฟ
    Read
    ผู้ใช้งานกระเป๋า Ledger ถูกขโมย Cryptocurrency มูลค่า 3 ล้านบาท ทั้ง ๆ ที่เก็บไว้ในตู้เซฟ

นาย Marc Thalen หรือหัวหน้าฝ่ายวิศวกรของ Bitcoin.com ออกมากล่าวว่าเขาได้ตรวจพบบั๊กดังกล่าว และปัจจุบันมีเม็ดเงินบน bZx ราว ๆ 20 ล้านดอลลาร์ที่กำลังตกอยู่ในความเสี่ยง โดยนาย Thalen ได้ทำการทดสอบเจาะช่องโหว่ของระบบและสร้างการกู้ยืมมูลค่า 100 USDC (3,100 บาท) และชี้ว่าเขาได้รับเหรียญ​ iUSDC ก่นอที่จะนำมันไปคัดลอก ก่อนที่จะเคลมเงินทั้งหมด 200 USDC

ผู้ร่วมก่อตั้ง bZx นาย Kyle Kistner ให้สัมภาษณ์กับสื่อท้องถิ่นว่า “มันเป็นเรื่องที่พูดยาก” ว่านี่ถือเป็นบั๊กที่มีความร้ายแรงที่ไม่ได้ถูกตรวจพบก่อนหน้านี้โดยบริษัทด้านการออดิตโค้ดยักษ์ใหญ่อย่าง Peckshield และ Certik โดยในขณะนี้ทั้งสองบริษัทดังกล่าวกำลังตรวจหาสาเหตุที่แท้จริงอยู่

ทาง Peckshield กล่าวว่า “การออดิตเพียงแค่ครั้งเดียวไม่สามารถการันตีได้ว่าจะสามารถหาปัญหาทั้งหมดเจอได้” แต่หากทำการตรวจสอบไปเรื่อย ๆ ก็จะสามารถช่วยลดความเสี่ยงลงได้ ส่วนทาง Certik กล่าวว่า “ความปลอดภัยนั้นถือเป็นการเดินทาง”

อย่างไรก็ตามผู้เชี่ยวชาญบางรายก็ออกมาแนะให้ทาง bZx หยุดเปิดให้บริการก่อนและทำการออดิตโค้ดใหม่ทั้งหมด แต่นาย Kistner กล่าวว่าทางบริษัทด้านการออดิตไม่ได้แนะนำให้ทำแบบนั้น

นี่ถือเป็นครั้งที่สามที่ทาง bZx ถูกโจมตีในปีนี้ โดยก่อนหน้านี้เมื่อเดือนกุมภาพันธ์ที่ผ่านมา โปรโตคอลดังกล่าวนั้นสูญเงินไปถึง 945,000 ดอลลาร์ภายในการโจมตีสองครั้ง

การโจมตีของนักแฮ็คครั้งล่าสุดส่งผลทำให้จำนวนมูลค่าสินทรัพย์ที่ถูกล็อค (TVL) ไว้บน bZx ลดลงไปถึง 70% โดยเหลืออยู่แค่ประมาณ 6.3 ล้านดอลลาร์เท่านั้น โดยนาย Kistner กล่าวว่า “หลายสิ่งกำลังเปลี่ยนแปลงไปอย่างรวดเร็วในวงการ DeFi”

เมื่อถูกถามเกี่ยวกับว่าทาง bZx จะเรียกความมั่นใจของนักลงทุนคืนมาได้อย่างไร นาย Kistner กล่าวว่า “พวกเราต้องการสร้างผลิตภัณฑ์ที่มีโครงสร้างแรงจูงใจที่มีความน่าดึงดูดใจสูง และทำให้ผู้ใช้งานต้องเข้ามาใช้ โดยไม่สนว่าพวกเขาจะรู้สึกอย่างไรต่อแบรนด์”