จะตัดสินได้อย่างไรว่าสิ่งที่เรียกว่า “HACK” ที่เกิดขึ้นกับโครงการ Crypto หรือ Blockchain นั้นถูกต้องตามกฎหมาย หรือเป็นเพียงกลไกในการซ่อน RUG?

เห็นได้ชัดว่าหลังจากสิ่งที่เกิดขึ้นกับ MtGox หรือ QuadrigaCX หรือกรณีที่คล้ายกันซึ่งผู้ก่อตั้งอ้างว่าพวกเขาทำกุญแจส่วนตัวที่ถือครองสินทรัพย์ดิจิทัลส่วนใหญ่ในการแลกเปลี่ยนของพวกเขาหายในขณะที่หายตัวไปหรือพบว่าเสียชีวิตในภายหลัง ผู้คนในแวดวงคริปโตเริ่มสงสัยมากขึ้นเมื่อพวกเขาได้ยินเกี่ยวกับ แฮ็คโครงการ และความคิดแรกที่นึกถึงก็คือผู้ก่อตั้งได้ทำให้กองทุนหมดและหมดไปกับมัน นั่นคือสิ่งที่เรียกกันทั่วไปว่า RUG

นี่อาจเป็นกรณีนี้ในหลาย ๆ โครงการ แต่ไม่จำเป็นสำหรับทุกโครงการ ดังนั้นวันนี้เรากำลังมองหากรณีที่เราเชื่อว่าเป็นการแฮ็กจริงเนื่องจากลักษณะของสถานการณ์

เราคิดว่าเป็นกรณีที่น่าสนใจในการวิเคราะห์ เพราะจะช่วยให้เข้าใจถึงความสำคัญของการรักษาความปลอดภัยและการตรวจสอบในโครงการที่เกี่ยวข้องกับสัญญาอัจฉริยะหรือบล็อกเชนโดยทั่วไปได้ดียิ่งขึ้น

เราจะวิเคราะห์ดราม่าที่เกิดขึ้นกับโครงการ RING Financial ซึ่งเป็นโทเค็นที่เปิดตัวบน BSC (Binance Blockchain) อย่างเป็นกลาง

ก่อนที่จะมาถึงการแฮ็ก เราจะสรุปโครงการและสถานการณ์ก่อน:

RING การเงินก่อนการแฮ็ก

RING Financial เป็นโครงการ DeFi โดยมีจุดประสงค์เพื่อให้ DeFi เข้าถึงชุมชน DeFi และ crypto ได้มากขึ้น โครงการที่มีความทะเยอทะยานที่ต้องการสร้างโปรโตคอลที่ให้โหนดซึ่งจะถูกควบคุมโดยผู้ถือโหนดและจัดสรรสภาพคล่องให้กับโปรโตคอลมากกว่า 300 รายการในคราวเดียว เป้าหมายคือการเข้าถึงโปรโตคอลทั้งหมดผ่านโหนด RING เดียวและผ่าน RING Dapp

โปรโตคอลเหล่านี้ได้รับการตรวจสอบโดยทีมงาน จากนั้นชุมชนจะลงมติว่าจะจัดสรรที่ใด แนวคิดการลงคะแนนแบบเดียวกับที่คุณมีใน DAO ซึ่งทำให้ RING น่าสนใจทีเดียว

RING Financial ยังลดความซับซ้อนของกระบวนการวิจัยและขั้นตอนการปรับใช้สำหรับ Node Holder เพียงตัวเดียว Dapp เดียวเพื่อเข้าถึง Dapps อื่น ๆ ทั้งหมด ดังนั้นคุณจึงต้องการเพียงอินเทอร์เฟซเดียวแทนที่จะเป็น 300 รายการที่แตกต่างกันด้วยการเข้าถึงและโหนดของตนเอง

สุดท้าย เป้าหมายของ RING Financial คือการลดค่าธรรมเนียมสำหรับการปรับใช้บนโปรโตคอลต่างๆ โดยค่าธรรมเนียมการทำธุรกรรมในปริมาณที่ต่ำกว่าสำหรับผู้ถือรายบุคคลซึ่งเป็นหนึ่งในจุดขายหลักของโครงการ โครงการที่มีไหวพริบและความทะเยอทะยานที่จะทำให้สิ่งต่างๆ ง่ายขึ้นสำหรับชุมชน และยิ่งเป็นกระแสหลักสำหรับผู้ที่ไม่รู้จัก Defi

อย่างไรก็ตาม ไหวพริบและความทะเยอทะยานนั้นไม่เพียงพอเสมอไป และคุณต้องการความเชี่ยวชาญและความรู้ ซึ่งในตลาดใหม่ที่ยังไม่บรรลุนิติภาวะเป็นสิ่งที่หาได้ยาก และเป็นเหตุผลว่าทำไม RING Financial จึงไม่สามารถทำได้ตามคำสัญญาโดยสิ้นเชิง

แล้วเกิดอะไรขึ้นกับ RING Financial? และทำไมมันถึงถูกแฮ็ค? ต้องขอบคุณบล็อกเชนที่เรามีหลักฐานทางนิติวิทยาศาสตร์ทั้งหมดที่จำเป็นในการเจาะลึกเรื่องนี้และดูว่าช่องโหว่นั้นอยู่ที่ไหนและทำไม RING Financial ไม่ใช่การหลอกลวง.

RING Financial HACK เกิดขึ้นในวันที่ 5 ธันวาคม 2021 ระหว่างเวลา 2:01 น. ถึง 2:06 น. UTC

ใช่ ทุกอย่างเกิดขึ้นใน 5 นาทีเท่านั้น! ต้องขอบคุณเครื่องสแกนบล็อกเชนสำหรับรายละเอียดเหล่านี้ อย่างไรก็ตาม เราให้คุณด้านล่างลิงก์ของธุรกรรมที่เกี่ยวข้องกับการแฮ็ก เช่นเดียวกับที่อยู่ของสัญญาสำหรับผู้ที่ต้องการค้นหารายละเอียดเพิ่มเติม

นี่คือบทสรุปที่อธิบายข้อบกพร่องที่ผู้โจมตีใช้:

คุณต้องเข้าใจว่าสัญญาอัจฉริยะของ RING Financial ประกอบด้วยหลายส่วน ส่วนหนึ่งสำหรับโทเค็นและข้อมูลทั้งหมดที่เกี่ยวข้อง และอีกส่วนหนึ่งสำหรับทุกสิ่งที่เกี่ยวข้องกับการบัญชีของโหนดและรางวัล ส่วนหนึ่งของโทเค็นมีการรักษาความปลอดภัย เพื่อให้เฉพาะผู้ดูแลระบบของสัญญาเท่านั้นที่สามารถแก้ไขข้อมูลสำคัญของโทเค็นนี้ได้ เพื่อแสดงรหัสบางส่วน นี่คือส่วนหัวของฟังก์ชันของสัญญาซึ่งได้รับการป้องกันผ่านแอตทริบิวต์ “onlyOwner' ซึ่งกำหนดว่าฟังก์ชั่นสามารถดำเนินการได้โดยผู้ดูแลระบบเท่านั้น:

ฟังก์ชันที่ไม่มี เจ้าของเท่านั้น แอตทริบิวต์ (หรือแอตทริบิวต์ที่เทียบเท่าเพื่อป้องกันการเข้าถึงฟังก์ชัน) สามารถดำเนินการได้โดยใครก็ตาม

ตอนนี้คาดเดาอะไร ฟังก์ชันในส่วนของโหนดและรางวัลไม่มีแอตทริบิวต์นี้ ดังที่คุณเห็นได้จากการดูชื่อฟังก์ชันด้านล่าง ( เจ้าของเท่านั้น ไม่มีแอตทริบิวต์):

และอย่างที่คุณจินตนาการได้ แฮ็กเกอร์ใช้ประโยชน์จากข้อบกพร่องนี้และหลอกลวงเพื่อรับรางวัลเป็นจำนวนทวีคูณใน RING จากนั้นทิ้งลงในแหล่งสภาพคล่องและเกือบหมดอย่างรวดเร็วในเวลาไม่กี่นาที ดังนั้นเขาจึงทำการหลอกลวงของเขา

ตอนนี้คุณอาจกำลังถามตัวเองด้วยคำถามสองข้อ:

นักพัฒนาจะทิ้งช่องโหว่ดังกล่าวได้อย่างไร?

หลังจากพูดคุยกับนักพัฒนา Solidity (ภาษาที่ใช้ในการเขียนโค้ดสัญญาอัจฉริยะบน Ethereum) นี่เป็นข้อผิดพลาดที่เกี่ยวข้องกับการสืบทอดบทบาทระหว่างสัญญาอัจฉริยะสองสัญญา การสืบทอดเป็นแนวคิดของภาษาโปรแกรม และเพื่อไม่ให้คุณปวดหัว เรา จะพูดง่ายๆ ก็คือ โดยพื้นฐานแล้ว เป็นไปได้มากว่าผู้ที่เขียนโค้ดสัญญาคิดว่าฟังก์ชันของส่วน Node สืบทอด Security role ของฟังก์ชันของส่วน Token แต่โชคไม่ดีที่กรณีนี้ไม่ใช่ใน Solidity และ มีความจำเป็นต้องกำหนดบทบาทของแต่ละหน้าที่ของแต่ละสัญญาใหม่ไม่ว่าจะมีความเชื่อมโยงกันอย่างไร ข้อสรุปของเราเกี่ยวกับประเด็นนี้คือผู้พัฒนาไม่ใช่ผู้เชี่ยวชาญและเขาอาจเผยแพร่สัญญาโดยไม่สละเวลาอ่านอีกครั้ง อาจจะรีบร้อน

คุณรู้ได้อย่างไรว่าไม่ใช่ผู้พัฒนาเองที่ทิ้งข้อบกพร่องนี้ไว้โดยเจตนา และไม่ใช่การหลอกลวง

การคัดค้านที่ดีมากและเป็นเรื่องง่ายที่จะสันนิษฐานว่าเป็นการหลอกลวงเมื่อคุณไม่แน่ใจว่าเป็นอย่างไร สัญญาสมาร์ท ทำงานได้ แต่จริง ๆ แล้วเป็นเรื่องง่ายมากที่จะสันนิษฐานว่านักพัฒนาเป็นผู้บริสุทธิ์ เพราะเขาเผยแพร่และตรวจสอบรหัสทั้งหมดของสัญญาอัจฉริยะต่อสาธารณะบน BSCSCAN.COM (เครื่องมือสแกนยอดนิยมที่สุดของ Binance Blockchain) เมื่อวันที่ 19 พฤศจิกายน 2021 กล่าวคือ มากกว่าสองสัปดาห์ก่อนที่ RING Financial HACK จะเกิดขึ้น และตามที่ได้อธิบายไปก่อนหน้านี้ ข้อบกพร่องถูกเขียนเป็น BLACK ON WHITE ในสัญญา และนักพัฒนาที่มีประสบการณ์ทุกคนจะสังเกตเห็นและตอบสนอง แต่น่าเสียดายที่คนแรกไม่มีความเมตตาเลย ดังนั้นจึงเห็นได้ชัดว่านักพัฒนาไม่ได้ตระหนักถึงข้อบกพร่องนี้เพราะเขาจะไม่เสี่ยงที่จะปล่อยให้ใครก็ตามฆ่าโครงการ RING Financial เมื่อใดก็ได้

เพื่อกลับไปที่ความต่อเนื่องของ RING Financial HACK ผู้พัฒนาได้ตระหนักถึงความผิดพลาดของเขาและเพียงแค่หยุดสัญญาเพื่อหยุดการแจกจ่ายรางวัลใด ๆ เพื่อไม่ให้ผู้โจมตีล้างข้อมูลทั้งหมด จากนั้นเขาปรับใช้ Node contract อีกครั้ง โดยคราวนี้มีแอตทริบิวต์ความปลอดภัย “onlyOwner” สัญญาโหนดใหม่นี้สามารถจัดการการกระจายรางวัลใหม่ได้อย่างถูกต้อง ยกเว้นว่าจะสายเกินไป เนื่องจากผลของการแฮ็ก ความไว้วางใจทั้งหมดในโครงการและทีมสูญเสียไป และแรงกดดันในการขายได้ฆ่าและยุติโทเค็นและ โครงการ.

โดยสรุปแล้ว เราเลือกเรื่องนี้เพราะมันแสดงให้เห็นสิ่งสำคัญสองประการเกี่ยวกับสัญญาอัจฉริยะและโครงการคริปโต อย่ารีบเร่งรีบเขียนโค้ดสัญญาและติดต่อบริษัทตรวจสอบบัญชีเสมอ เพราะเมื่อแฮ็กเกิดขึ้น มันก็สายเกินไปที่จะช่วยเรือ และ โครงการ RING Financial เป็นตัวอย่างที่ดี ยิ่งไปกว่านั้น ตามการสื่อสารของพวกเขา พวกเขาได้ติดต่อบริษัทตรวจสอบสำหรับสัญญา Node ที่สองนี้ และไม่ได้โพสต์ต่อสาธารณะบน BSCSCAN จนกว่าพวกเขาจะมั่นใจในความปลอดภัย แต่อย่างที่กล่าวไว้ก่อนหน้านี้ มันสายเกินไปสำหรับ RING Financial และความเสียหายนั้นไม่สามารถแก้ไขได้

นี่คือลิงค์ทั้งหมดของสแกนเนอร์และที่อยู่ของสัญญา:

การดำเนินธุรกรรมกระเป๋าเงินสำหรับการเจาะช่องโหว่: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f

 Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2

Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372

 การเจาะระบบธุรกรรม:

 ทีอาร์เอ็กซ์1

    link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e

ทีอาร์เอ็กซ์2

    link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003

ทีอาร์เอ็กซ์3

    link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
• ที่มา: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/