แฮ็กเกอร์ ใช้ประโยชน์จากจุดบกพร่อง ในโทเค็นเกมที่เพิ่งเปิดตัวบนเครือข่าย Blast – Super Sushi Samurai – เพื่อขโมย Ethereum มูลค่าประมาณ 4.6 ล้านดอลลาร์ในวันที่ 21 มีนาคม – น้อยกว่าหนึ่งเดือนนับจากการเปิดตัว
การใช้ประโยชน์ดังกล่าวส่งผลให้ค่าโทเค็นคลาดเคลื่อนประมาณ 99% หลังจากการถ่ายโอนข้อมูลโทเค็นโดยไม่ได้รับอนุญาต ผู้โจมตีดึง 1310 ETH จากแหล่งรวมสภาพคล่องหลักของโทเค็นโดยการเพิ่มยอดคงเหลือเป็นสองเท่าซ้ำ ๆ แล้วขายทั้งหมดตามรายละเอียดที่ Certik แชร์กับ CryptoSlate
Super Sushi Samurai มีกำหนดจะเปิดตัวเกม web3 ในวันเดียวกัน เหตุการณ์นี้อาจดำเนินการโดยแฮ็กเกอร์หมวกขาว อยู่ระหว่างการติดต่อ กับทีมงานซุปเปอร์ซูชิซามูไร อย่างไรก็ตามรายละเอียดยังไม่ชัดเจน ณ เวลาแถลงข่าว
ข้อผิดพลาดการทำซ้ำ
การสืบสวนเหตุการณ์ดังกล่าวเผยให้เห็นว่าบุคคลที่ไม่ได้รับอนุญาตได้รับโทเค็น SSS จำนวน 690 ล้านโทเค็น และต่อมาได้เริ่มการทำธุรกรรมหลายชุดผ่านสัญญาการโจมตีที่ออกแบบมาเพื่อจุดประสงค์นี้โดยเฉพาะ
ด้วยการใช้ประโยชน์จากช่องโหว่ภายในฟังก์ชัน _update() ของแพลตฟอร์ม ผู้โจมตีสามารถทำซ้ำโทเค็นที่ตนครอบครองได้ 25 ครั้ง การจัดการนี้ทำให้ปริมาณโทเค็นเพิ่มขึ้นเป็น 11.5 ล้านล้าน ซึ่งในที่สุดก็มีการแลกเปลี่ยนเป็นประมาณ 1,310 ETH หรือเทียบเท่ากับประมาณ 4,590,827 ดอลลาร์
ช่องโหว่ดังกล่าวใช้ประโยชน์จากข้อบกพร่องในกลไกการอัปเดตยอดคงเหลือของสัญญาอัจฉริยะ ซึ่งไม่สามารถสะท้อนการเปลี่ยนแปลงได้อย่างแม่นยำเมื่อโทเค็นถูกโอนไปยังที่อยู่เดียวกัน การควบคุมดูแลนี้ช่วยให้ยอดโทเค็นของผู้โจมตีเพิ่มขึ้นแบบทวีคูณโดยไม่มีธุรกรรมที่ถูกต้องตามกฎหมาย
ในเดือนกุมภาพันธ์ ข้อผิดพลาดเดียวกันนี้ถูกใช้เพื่อใช้ประโยชน์จากโทเค็นที่ใช้ Ethereum ที่เรียกว่า MINER การแฮ็กส่งผลให้สูญเสีย 168.8 ETH.
ความพยายามในการกู้คืน
หลังจากการละเมิดดังกล่าว Super Sushi Samurai ได้มีส่วนร่วมกับชุมชน โดยให้ข้อมูลอัปเดตและการรับประกันผ่านช่องทาง Telegram อย่างเป็นทางการและแพลตฟอร์มโซเชียลมีเดียอื่น ๆ
ทีมงานกล่าวว่ากำลังพยายามติดต่อกับผู้โจมตี และทวีตล่าสุดจากแพลตฟอร์มเกมระบุว่าแฮ็กเกอร์หมวกขาวได้ติดต่อเกี่ยวกับเหตุการณ์ดังกล่าว อย่างไรก็ตาม ยังไม่ชัดเจนว่ากลุ่มหมวกขาวมีส่วนรับผิดชอบต่อการแสวงหาผลประโยชน์หรือช่วยกู้คืนเงินทุน ณ เวลานี้หรือไม่
ซุปเปอร์ซูชิซามูไร กล่าวว่า:
“เรากำลังทำงานร่วมกับกลุ่มหมวกขาวในการคืนเงินทุนอย่างปลอดภัย การอัปเดตและการชันสูตรศพจะตามมา”
ที่อยู่ที่มีกองทุนที่ถูกบุกรุกได้รับการเปิดเผยต่อสาธารณะเพื่ออำนวยความสะดวกในการติดตามและการกู้คืนทรัพย์สินที่สูญหาย:
“0x786C8f95C17BB990a040dc4D6539B01FC1b72842”
ความพยายามในการสื่อสารของทีมมุ่งหวังที่จะแจ้งให้ผู้มีส่วนได้ส่วนเสียทราบเกี่ยวกับการพัฒนาของเหตุการณ์และมาตรการเพื่อแก้ไขช่องโหว่ด้านความปลอดภัย
เหตุการณ์นี้เน้นย้ำถึงความสำคัญที่สำคัญของโปรโตคอลความปลอดภัยที่แข็งแกร่งในภาคการเข้ารหัสลับ ซึ่งลักษณะดิจิทัลของสินทรัพย์ทำให้พวกเขาเสี่ยงต่อการถูกโจมตีดังกล่าว นอกจากนี้ยังเน้นย้ำถึงความท้าทายอย่างต่อเนื่องของแพลตฟอร์มในการป้องกันภัยคุกคามทางไซเบอร์ที่ซับซ้อน
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://cryptoslate.com/new-gaming-token-on-blast-exploited-for-4-6-million-white-hat-hacker-involved/