Flow Foundation เปิดเผยความเสียหายจากช่องโหว่ระดับโปรโตคอลเมื่อวันที่ 27 ธันวาคมมูลค่า 3.9 ล้านดอลลาร์ผู้โจมตีใช้ประโยชน์จากข้อบกพร่องของ Cadence โดยการจำลองสินทรัพย์แทนที่จะขโมย ตัวตรวจสอบหยุดเครือข่ายภายในหกชั่วโมง FLOW ลดลงอย่างรวดเร็ว 40% ภายในห้าชั่วโมง จากราคา 40 ดอลลาร์เมื่อปี 2021 ลดลงเป็น 0.075 ดอลลาร์ Flow ถูกสร้างขึ้นโดย Dapper Labs ซึ่งได้รับการจัดหาเงินจาก a16z มูลค่า 7.25 แสนล้านดอลลาร์
การวิเคราะห์ช่องโหว่เทคนิคในการจำลองโทเค็นระดับโปรโตคอล
Flow Foundation เปิดตัวรายงานการวิเคราะห์เทคนิคเมื่อวันอังคารที่อธิบายรายละเอียดเกี่ยวกับเหตุการณ์ช่องโหว่ระดับโปรโตคอลที่เกิดขึ้นเมื่อวันที่ 27 ธันวาคม ผู้โจมตีใช้ประโยชน์จากช่องโหว่ในสภาพแวดล้อม Cadence Runtime ของ Flow ซึ่งอนุญาตให้จำลองสินทรัพย์บางอย่างแทนที่จะ铸造ทำให้หลีกเลี่ยงการควบคุมอุปทาน และไม่จำเป็นต้องเข้าถึงหรือใช้สิทธิ์ยอดเงินบัญชีผู้ใช้ที่มีอยู่
วิธีการโจมตีนี้ถือว่าหายากมากในประวัติศาสตร์ความปลอดภัยบล็อกเชน การโจมตีแบบดั้งเดิมโดยปกติจะขโมยระหว่างเข้าถึงส่วนตัวหรือใช้ประโยชน์จากข้อบกพร่องของสัญญาอัจฉริยะเพื่อโอนสินทรัพย์ของผู้ใช้ แต่ช่องโหว่ของ Flow อนุญาตให้ผู้โจมตี “จำลอง” โทเค็นจากศูนย์ เหมือนเครื่องโฟโตโคปีที่คัดลอกแบงค์โนต เนื่องจากการโจมตีจำลองสินทรัพย์แทนที่จะขโมยเงินจากบัญชี จึงไม่มียอดเงินบัญชีผู้ใช้ที่มีอยู่ได้รับผลกระทบ คุณลักษณะนี้ทำให้ช่องโหว่นั้นยากที่จะตรวจสอบในช่วงแรก เนื่องจากผู้ใช้จะไม่พบว่ายอดเงินกระเป๋าเงินของพวกเขาลดลง
ภายในหกชั่วโมงหลังจากการทำธุรกรรมที่เป็นอันตรายครั้งแรก ตัวตรวจสอบประสานงานหยุดการทำงานของเครือข่าย ในขณะที่พาร์ทเนอร์แลกเปลี่ยนจำนองสินทรัพย์ปลอมส่วนใหญ่ก่อนที่จะขายได้ Flow ระบุว่าการหยุดชั่วคราวนี้ทำให้เครือข่ายอยู่ในโหมดอ่านอย่างเดียว เพื่อตัดมาตราการออกและป้องกันการจำลองข้อมูลเพิ่มเติม พร้อมทำการสืบสวนปัญหา
สองวันต่อมา การดำเนินการกลับมาเป็นปกติตามแผน “การกู้คืนแบบแยก” ซึ่งรักษาบันทึกการทำธุรกรรมที่ชอบด้วยกฎหมายและอนุญาตให้คืนและทำให้สินทรัพย์ปลอมถาวรหมดไปผ่านกระบวนการที่ได้รับอนุมัติจากผู้บริหาร แม้ว่าผู้โจมตีสร้างโทเค็นปลอมจำนวนมากบนเชอร์จ Flow ระบุว่าโทเค็นปลอมส่วนใหญ่ถูกควบคุมหรือแช่แข็งก่อนการชำระบัญชี เพื่อป้องกัน บัญชีจำนวนน้อยที่มีปฏิสัมพันธ์กับโทเค็นปลอมถูกจำกัดการเข้าถึงชั่วคราว ในขณะที่บัญชีกว่า 99% ยังคงรักษาการเข้าถึงแบบเต็มรูปแบบในระหว่างและหลังจากช่วงการกู้คืน
ไทม์ไลน์เหตุการณ์ช่องโหว่ Flow และกระบวนการจัดการ
การโจมตีครั้งแรกเมื่อ 27 ธันวาคม: แฮกเกอร์เริ่มใช้ประโยชน์จากช่องโหว่ Cadence เพื่อจำลองโทเค็น
หยุดเครือข่ายภายในหกชั่วโมง: ตัวตรวจสอบประสานงานเข้าสู่โหมดอ่านอย่างเดียว ตัดเส้นทางการโจมตี
การแช่แข็งฉุกเฉินแลกเปลี่ยน: พาร์ทเนอร์ดำเนินการแช่แข็งก่อนการขายโทเค็นปลอมส่วนใหญ่
การกู้คืนแบบแยกสองวันต่อมา: รักษาธุรกรรมที่ชอบด้วยกฎหมาย ทำให้สินทรัพย์ปลอมหมดไป บัญชี 99% ไม่ได้รับผลกระทบ
การลดลงที่ยาวนานจาก 40 ดอลลาร์เป็น 0.075 ดอลลาร์
(แหล่งที่มา: CoinGecko)
Dapper Labs ผู้สร้าง CryptoKitties ของโครงการโทเค็นที่ไม่สามารถแลกเปลี่ยนได้ ได้ประกาศการพัฒนา Flow เมื่อกันยายน 2019 ซึ่งเป็นบล็อกเชนชั้น 1 ใหม่ที่มุ่งแก้ไขความท้าทายด้านความสามารถในการปรับขนาดในแอปพลิเคชันผู้ใช้เช่นเกมและสะสมรายการดิจิทัล ความสำเร็จในช่วงแรกของ NBA Top Shot (แพลตฟอร์ม NFT สำหรับการซื้อขายไฮไลต์วิดีโอ NBA ที่ได้รับอนุญาต) ช่วยให้บล็อกเชน Flow ได้รับความสนใจจากกระแสหลักในปี 2020 และ 2021
ด้วยหลักเหตุนี้ ตามข้อมูลจาก CoinGecko โทเค็น FLOW ของเครือข่ายขึ้นสูงถึง 40 ดอลลาร์ขึ้นไปในปี 2021 โมเมนตัมการพัฒนา Flow ยังคงดำเนินต่อไปในปี 2022 โครงการดังกล่าวระดมทุนได้ประมาณ 7.25 แสนล้านดอลลาร์จากนักลงทุนรวมถึง Andreessen Horowitz (a16z) และ Union Square Ventures เพื่อสนับสนุนการพัฒนาระบบนิเวศ การรับรองสถาบันระดับยอดนี้ทำให้ Flow ถูกมองว่าเป็นผู้นำด้านโครงสร้างพื้นฐาน NFT
ตามการลดลงของตลาด NFT ในปีต่อๆ มา โทเค็น FLOW ก็สูญเสียโมเมนตัมการพัฒนา หลังจากนั้นมูลค่าตลาดก็ตกออกจากสุดท้าย 300 อันดับแรกของสกุลเงินดิจิทัล หลังจากเหตุการณ์การโจมตีของแฮกเกอร์เมื่อวันที่ 27 ธันวาคม อัตราการลดลงของราคา FLOW เร่งตัวขึ้น ลดลงประมาณ 40% ในห้าชั่วโมง ราคาโทเค็นนี้ลดลงถึง 0.075 ดอลลาร์ต่ำสุดเมื่อวันที่ 2 มกราคม หลังจากนั้นจึงเริ่มกลับมา ตามข้อมูล Cointelegraph ณ เวลาข่าว มีการซื้อขายที่ใกล้ 0.10 ดอลลาร์ โดยเพิ่มขึ้นประมาณ 16% ในช่วง 24 ชั่วโมงที่ผ่านมา
จาก 40 ดอลลาร์เป็น 0.075 ดอลลาร์ อัตราการลดลงเกิน 99.8% แม้แต่ในตลาดสกุลเงินดิจิทัล ขนาดของการสิ้นหวังนี้ก็ถือว่ารุนแรง การลดลงของ Flow สะท้อนให้เห็นจนจำ จำของส่วนโครงสร้างพื้นฐาน NFT ทั้งหมด เมื่อกระแสการเก็งกำไรจางหายลง โครงการที่ขาดการประยุกต์ใช้ที่แท้จริงจะถูกตลาดทิ้งไปอย่างรวดเร็ว
การแก้ไขช่องโหว่และมาตรการเสริมความปลอดภัยในอนาคต
Foundation ระบุว่าพวกเขาได้แก้ไขช่องโหว่พื้นฐานแล้ว เพิ่มการตรวจสอบรันไทม์ที่เข้มงวดมากขึ้น และขยายการทดสอบการถดถอย เพื่อป้องกันการโจมตีที่คล้ายคลึงกัน นอกจากนี้ พวกเขายังทำงานร่วมกับพาร์ทเนอร์การสืบสวนเอกสารและหน่วยงานบังคับใช้กฎหมาย และวางแผนที่จะเสริมความแข็งแกร่งในการตรวจสอบและโปรแกรมรางวัลข้อบกพร่อง เพื่อเป็นส่วนหนึ่งของมาตรการเสริมความปลอดภัยที่กว้างขึ้น
การตอบสนองด้านความปลอดภัยที่ครอบคลุมนี้เป็นสิ่งจำเป็น แต่ยังเปิดเผยข้อบกพร่องในการออกแบบช่วงแรกของ Flow Cadence ในฐานะภาษาสัญญาอัจฉริยะหลักของ Flow สภาพแวดล้อมรันไทม์ของมีข้อบกพร่องที่อนุญาตให้จำลองสินทรัพย์ แสดงให้เห็นแต่ในการตรวจสอบรหัสและการทดสอบความปลอดภัยมีจุดบอด สำหรับบล็อกเชนที่ได้ทำงานมาหลายปีและดำเนินการซื้อขายหลายแสนล้านดอลลาร์แล้ว การปรากฏตัวของช่องโหว่ระดับโปรโตคอลนี้ถือว่าหายากและร้ายแรงมาก
การเสริมความแข็งแกร่งของโปรแกรมรางวัลข้อบกพร่องเป็นสัญญาณเชิงบวก แต่ความเชื่อมั่นของนักลงทุนได้รับความเสียหายแล้ว Flow จำเป็นต้องสร้างความเชื่อมั่นขึ้นมาใหม่ผ่านการตรวจสอบความปลอดภัยอย่างต่อเนื่อง การรายงานอุบัติเหตุที่โปร่งใส และบันทึกที่ไม่มีข้อบกพร่องสักครั้ง ในตลาด Layer-1 ที่มีการแข่งขันที่รุนแรงในปัจจุบัน เหตุการณ์ความปลอดภัยที่สำคัญอาจเป็นอันตราย
