ScaleBit ของ BitsLab ทำเครื่องหมายว่า ‘น่าตกใจ’ ช่องโหว่ Uniswap Wallet

เมื่อวันที่ 13 มกราคม ScaleBit ซึ่งเป็นสาขาของบริษัทรักษาความปลอดภัย BitsLab ได้หยิบยกข้อกังวลเกี่ยวกับจุดอ่อนที่เป็นไปได้ในกระเป๋าเงิน Web3 ของ Uniswap ซึ่งเป็นการแลกเปลี่ยนแบบกระจายอำนาจ หากตรวจสอบปัญหานี้แล้ว อาจทำให้สินทรัพย์ที่จัดเก็บไว้ทั้งหมดตกอยู่ในความเสี่ยง

ตามประกาศของ ScaleBit มีปัญหารายงานว่าผู้โจมตีที่เข้าถึงอุปกรณ์ได้โดยตรงสามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยของกระเป๋าเงินดิจิทัลและรับวลีการกู้คืนที่บันทึกไว้ในนั้นทันที

พูดง่ายๆ ก็คือ วลีช่วยในการจำหรือ “seed” ของกระเป๋าเงิน Web3 นั้นเป็นลำดับของคำที่สุ่มเลือกไว้ 12 ถึง 24 คำ การผสมผสานที่เป็นเอกลักษณ์นี้ทำให้คุณสามารถจัดการทรัพยากรของกระเป๋าเงินของคุณจากอุปกรณ์ต่าง ๆ ได้ เนื่องจากมันให้การควบคุมสินทรัพย์ที่เก็บไว้ภายในได้อย่างสมบูรณ์

จากข้อมูลของ ScaleBit บุคคลที่สามารถเข้าถึงอุปกรณ์ที่ไม่ปลอดภัยใช้เวลาประมาณสามนาทีเพื่อรับวลีการกู้คืนของกระเป๋าเงิน ช่องโหว่นี้ยังคงมีอยู่ในแอปพลิเคชันเวอร์ชันล่าสุด

จากข้อมูลของ ScaleBit ขอแนะนำสำหรับผู้ใช้ Uniswap Wallet หลีกเลี่ยงการให้ผู้อื่นยืมสินทรัพย์เป็นการชั่วคราว เพื่อความปลอดภัย จนกว่าช่องโหว่ที่ระบุจะได้รับการแก้ไข

ตัวแทนจาก Uniswap ไม่ได้ให้ความเห็นทันทีเกี่ยวกับการสอบถามของเรา ในขณะที่เราไม่สามารถยืนยันช่องโหว่ที่รายงานได้ด้วยตนเอง

ใช้ประโยชน์จากความสูญเสีย

เมื่อเดือนธันวาคมปีที่แล้ว บริษัทรักษาความปลอดภัย Cyvers แจ้งกับ CryptoMoon ว่าในปี 2024 มูลค่าของสกุลเงินดิจิทัลที่สูญเสียไปเนื่องจากการแสวงหาประโยชน์ด้านความปลอดภัยทางไซเบอร์เพิ่มขึ้นประมาณ 40% เมื่อเทียบกับปีที่แล้ว โดยมีมูลค่าประมาณ 2.3 พันล้านดอลลาร์

แนวโน้มที่สูงขึ้นบ่งชี้ถึงเหตุการณ์ที่เกิดขึ้นจากการเข้าถึงการควบคุมความปลอดภัยโดยไม่ได้รับอนุญาต โดยเฉพาะอย่างยิ่งส่งผลกระทบต่อการแลกเปลี่ยนสกุลเงินดิจิทัลแบบรวมศูนย์ (CEX) และผู้ดูแลการเข้ารหัสลับ ตามที่รายงานโดย Deddy Lavid ผู้ร่วมก่อตั้งและซีอีโอของ Cyvers การละเมิดประเภทหนึ่งที่พบบ่อยเกี่ยวข้องกับการใช้วลีช่วยจำ

ในช่วงเดือนสุดท้ายของปี 2024 กรณีของการฉ้อโกงสกุลเงินดิจิทัล การหาประโยชน์ และการแฮ็กลดลงอย่างมาก ตามการอัปเดตของ CertiK เมื่อวันที่ 31 ธันวาคม โดยเดือนธันวาคมถือเป็นจำนวนเงินที่ต่ำที่สุดที่ถูกขโมยในเหตุการณ์เหล่านี้

จากข้อมูลของ CertiK รายงานความสูญเสียอันเนื่องมาจากการหาประโยชน์ การแฮ็ก และการหลอกลวงมีมูลค่าประมาณ 28.6 ล้านดอลลาร์ในเดือนธันวาคม เทียบกับ 63.8 ล้านดอลลาร์ในเดือนพฤศจิกายนและ 115.8 ล้านดอลลาร์ในเดือนตุลาคม

ในโพสต์วันที่ 1 มกราคมบน X บริษัทรักษาความปลอดภัยบล็อคเชน PeckShield เปิดเผยข้อมูลที่เทียบเคียงได้กับสิ่งนี้ พวกเขารายงานว่าการสูญเสียเนื่องจากการแฮ็กมีมูลค่าประมาณ 24.7 ล้านดอลลาร์ในเดือนธันวาคม ซึ่งลดลงอย่างมากถึง 71% เมื่อเทียบกับตัวเลขในเดือนพฤศจิกายน

2025-01-13 20:18