ทีม ElephantsLab ได้ทำการวิเคราะห์ Smart contracts ในโครงการ DeFi บน TRON และพบช่องโหว่หรือข้อบกพร่องในการออกแบบ ที่อนุญาตให้สามารถขโมยเงินทั้งหมดของผู้ที่มีปฏิสัมพันธ์กับมัน
ทีมงานอธิบายว่า ในโปรโตคอลประเภทนี้ที่ผู้ใช้จะต้องฝากและ stake โทเค็นเพื่อรับโทเค็นใหม่ โดยมี Fundamental parameter สองประการ:
Address_spender ซึ่งเป็นที่อยู่ของโทเค็นที่สร้างโดยโปรเจ็กต์
Uint256_value ซึ่งเป็น contract ที่ hold โทเค็น
โดยจากการวิจัยเชิงลึกที่ดำเนินการเกี่ยวกับ TRON blockchain แสดงให้เห็นว่า Smart contracts บางอย่างมีการเขียนเอาไว้ไม่ดี
bug ดังกล่าวนี้ช่วยให้สามารถถอนโทเค็นทั้งหมดออกจาก address ของผู้ใช้ได้จริง ดังนั้นแม้ว่าจะใส่ค่าใดค่าหนึ่งไว้ที่ส่วนท้าย แต่ก็สามารถเอาไปได้ทั้งหมด
ในการตรวจสอบความผิดปกติ ก่อนอื่นจำเป็นต้องตรวจสอบ value ที่ส่งคืนซึ่งต้องเป็น 0 หากส่งคืน value -1 โทเค็นจะตกอยู่ในอันตราย และเงินในกระเป๋าสตางค์อาจหายไปหมด
ช่องโหว่เหล่านี้พบได้ใน Smart contracts ของ Tether (USDT), TRON USDJ stablecoin และ Just (JST)
อย่างไรก็ตามทางด้าน CTO Tether Paolo Ardoino ได้ปฏิเสธว่ามันเป็นข้อผิดพลาด:
“มันไม่ใช่ bug เมื่อ Tether ที่ถูกสร้างบน Tron ไม่สามารถใช้งานร่วมกับ ERC20 ได้ 100% มันไม่ใช่ข้อบกพร่อง แต่เรากำลังดำเนินการสร้าง Wrapper เพื่อปรับข้อกำหนดให้สอดคล้องกับ ERC20”
อ้างอิง : LINK
