ข่าว

เกษตรกร (Yield farmer) รายหนึ่ง สูญเสียโทเค็น UNI ของ Uniswap มูลค่ากว่า 4 ล้านบาท

ตุลาคม 6, 2020

ตามที่นักวิจัยของ ZenGo Alex Manuskin ระบุว่า มีผู้ใช้อย่างน้อยหนึ่งรายสูญเสียโทเค็น UNI ของ Uniswap มูลค่ากว่า 140,000 ดอลลาร์ (กว่า 4 ล้านบาท) แม้ว่าพวกเขาจะถอนเงินออกจากโปรโตคอล DeFi ที่ชื่อ UniCats แล้วก็ตาม รวมไปถึงยังมีผู้ใช้รายอื่น ๆ อีก ที่สูญเสียเงินประมาณ 50,000 ดอลลาร์

If you are not yet convinced that you should NOT be approving infinite tokens to some random smart contract/Dapp, here’s a story of how Jhon Doe lost $140K worth of UNI in their sleep.
1/
👇 pic.twitter.com/QltkevnzDY
— amanusk (@amanusk_) October 5, 2020

ผู้ใช้ตกเป็นเหยื่อของสิ่งที่เป็นอันตรายสามารถพบเห็นได้ทั่วไปใน DeFi ซึ่งโปรโตคอลส่วนใหญ่จะมีการขออนุญาตถอนโทเค็นไม่จำกัดจำนวนจากกระเป๋าเงินของลูกค้า ซึ่งสิ่งนี้ทำให้ smart contract สามารถทำธุรกรรมโทเค็นได้มากเท่าที่พวกเขาต้องการในนามของเจ้าของกระเป๋าเงินแต่ละราย

กระเป๋าเงินบางแห่ง จะช่วยให้ผู้ใช้สามารถปรับจำนวนเงินที่อนุมัติได้ด้วยตนเอง แม้ว่าโดยทั่วไปจะตั้งค่าเริ่มต้นเป็นค่าสูงสุดก็ตาม

และในกรณีของ UniCats Manuskin อธิบายว่า:“ไม่เพียงแต่มีการ rug pull และการหลอกลวงเท่านั้น แต่ยังมีต้องการติดตามโทเค็นที่ได้รับอนุมัติทั้งหมดของผู้ใช้ด้วย”

Contract ของ UniCats มีฟังก์ชัน “setGovernance” ที่ให้เจ้าของเรียกใช้ฟังก์ชันใด ๆ ในชื่อ contract เนื่องจากผู้ใช้ให้การอนุมัติ contract นี้อย่างไม่มีที่สิ้นสุด นักพัฒนาจึงสามารถถอนยอดเงินคงเหลือของ UNI ของผู้ใช้ไปได้ทั้งหมด

โทเค็น UNI ที่ถูกขโมยไปถูกเทขายทันทีเป็น Ether ( ETH ) และถูกส่งไปยัง Tornado Cash เพื่อ mixe หรือปิดบังธุรกรรม ทำให้หลายคนตั้งคำถามว่าการกระทำเหล่านี้มีการไตร่ตรองไว้ล่วงหน้าหรือไม่

เหตุการณ์ดังกล่าว ชี้ให้เห็นถึงความสำคัญของการมอบเงินทุนให้กับโครงการที่ได้รับการตรวจสอบและมีชื่อเสียงเท่านั้น หลังจากเกิดความบ้าคลั่งในการทำ yield farming ซึ่งทำให้เกิดฟาร์มใหม่ ๆ ที่ไม่ค่อยมีคนรู้จักจำนวนมากโผล่ขึ้นมาเพื่อใช้ประโยชน์จากแนวโน้มดังกล่าว น่าเสียดายที่พวกเขามักจะหอบเอาเงินเหล่านั้นไปทันทีด้วยการซ่อนประตูหลังประเภทต่างๆเอาไว้ และทำให้เหล่าเกษตรกรจำนวนมากถูก “rug pull” และเงินทุนของพวกเขาก็หมดลงไปกับเหตุการณ์ที่คล้ายคลึงกันนี้

“ผู้สร้าง” UniCats มีการสร้าง backdoor ใน smart contract ด้วยกลไกที่ช่วยให้เค้าสามารถควบคุมโทเค็นได้ตลอดไปในกระเป๋าเงินของผู้ใช้แม้ว่าจะถูกถอนออกจากแพลตฟอร์มไปแล้วก็ตาม ทำให้กระเป๋าเงินจะถูกบุกรุกอย่างสมบูรณ์ และหมายความว่าโทเค็นใหม่ที่ส่งไปยังที่อยู่นั้นก็สามารถถูกขโมยได้ในลักษณะเดียวกัน

#BadApprove vulnerability we unveiled a while ago https://t.co/fC4MsQwekx https://t.co/lldbDPw21Y
— Ouriel Ohayon (@OurielOhayon) August 28, 2020

Manuskin เรียกร้องให้ผู้ใช้ อนุมัติโทเค็นที่ต้องการใช้จ่ายเท่านั้น เนื่องจากจำนวนเงินที่ได้รับอนุมัติจะเป็นศูนย์หลังจากสัญญาใช้งานหรือยกเลิกการเข้าถึงเงินทุนของพวกเขาในภายหลัง

“ปัญหาส่วนใหญ่เกิดจากการที่ผู้ใช้มีความซับซ้อนในการอนุมัติจำนวนเงินแบบ infinite เนื่องจากนี่เป็นมาตรฐานใน dapps ยอดนิยมเช่นกัน” และเสริมว่า “ในด้าน dapp พวกเขาควรพิจารณาอนุญาตในจำนวนที่จำเป็น แม้ว่าจะทำให้ผู้ใช้ไม่สะดวกก็ตาม ทางด้านกระเป๋าสตางค์กระเป๋าก็ควรแจ้งเตือนผู้ใช้ว่าพวกเขากำลังให้สิทธิ์โทเค็นในปัจจุบันและอนาคตทั้งหมด

อ้างอิง : LINK

Radius

ผู้เชี่ยวชาญการเขียนข่าว บทความ ที่เกี่ยวข้องกับ Bitcoin , คริปโตเคอเรนซี่ และ Blockchain ทั้งในไทยและต่างประเทศ อัพเดทราคา มุมมองการลงทุน ใหม่ล่าสุดทุกวัน

ข่าวต่อไป