Sky เผชิญกับความกังวลด้านความปลอดภัยมากกว่า $756M USDC ในการดูแล Lite PSM

by

ในฐานะนักลงทุน crypto ที่มีประสบการณ์ ฉันพบว่าตัวเองมีความกังวลอย่างมากเกี่ยวกับการเปิดเผยล่าสุดเกี่ยวกับ Sky (เดิมชื่อ MakerDAO) และความปลอดภัยของ USDC มูลค่า 756 ล้านดอลลาร์ที่จัดขึ้นภายใน Lite PSM การพึ่งพาบัญชีภายนอก (EOA) ตามที่ผู้ใช้ Will Morris เน้นย้ำ ทำให้เกิดความเสี่ยงที่ไม่จำเป็นซึ่งอาจนำไปสู่การ “ดึงข้อมูล” หรือการแสวงหาผลประโยชน์

ก่อนหน้านี้รู้จักกันในชื่อ MakerDAO องค์กรได้รับความสนใจเนื่องจากความกังวลเกี่ยวกับความปลอดภัยของ USDC ประมาณ 756 ล้านดอลลาร์ ซึ่งปัจจุบันจัดเก็บไว้ใน “Lite Peg Stability Module”

ในตอนแรก Will Morris ดึงความสนใจไปยังปัญหาบางอย่าง โดยชี้ให้เห็นว่าโครงสร้าง PSM แบบน้ำหนักเบานั้นขึ้นอยู่กับบัญชีภายนอก (EOA) สำหรับการจัดการ USDC จำนวนมาก ตามที่มอร์ริสอธิบาย การกำหนดค่านี้อาจทำให้เงินทุนเสี่ยงต่อการถูกโจมตี ซึ่งมักเรียกกันว่า “การดึงพรม” ปัญหาหลักอยู่ที่เจ้าของบัญชี EOA มีอำนาจไม่จำกัดในการถอนเงินได้ทุกเมื่อที่ต้องการ ซึ่งอาจเป็นอันตรายต่อความปลอดภัยของสินทรัพย์ได้

ข้อบกพร่องด้านความปลอดภัยในการออกแบบการดูแล

มอร์ริสยืนยันว่าการมอบความไว้วางใจในการดูแลบัญชีที่เป็นเจ้าของภายนอกสามารถเพิ่มช่องโหว่ด้านความปลอดภัยโดยไม่จำเป็น แต่เขาแนะนำให้ใช้สัญญาอัจฉริยะแทน เนื่องจากอาจเพิ่มมาตรการด้านความปลอดภัยได้

มอร์ริสกล่าวว่าในความเห็นของเขา การออกแบบก่อนหน้านี้ทำให้ PSM สามารถถือครอง USDC ได้โดยตรง โดยไม่ต้องใช้บัญชีที่มีสิทธิพิเศษ เขาชอบระบบที่ PSM จัดการ USDC ของตนเอง โดยขจัดความจำเป็นในการเข้าถึงจากภายนอกที่อาจก่อให้เกิดความเสี่ยงต่อกองทุน เนื่องจากอาจถูกบุกรุกได้

ในสถานการณ์นี้ วิธีการที่ปลอดภัยเพียงอย่างเดียวสำหรับ EOA (บัญชีที่เป็นเจ้าของภายนอก) คือถ้าธุรกรรมการอนุมัติ USDC ได้รับการลงนามโดยใช้วิธีของ Nick อย่างไรก็ตาม ดูเหมือนว่าจะไม่เป็นเช่นนั้น เพื่อความโปร่งใสที่เพิ่มขึ้น การมีสัญญาอัจฉริยะที่จัดการกระบวนการอนุมัติเพียงอย่างเดียวจะเป็นประโยชน์อย่างยิ่ง

— wjmelements (@willmorriss4) 6 ธันวาคม 2024

นอกจากนี้ Morris ยังเปิดเผยว่าเขาได้ยื่นเรื่องร้องเรียนเกี่ยวกับข้อผิดพลาดที่น่าสงสัยกับ Immunefi ซึ่งเป็นบริการบล็อกเชนยอดนิยมที่เชี่ยวชาญในการตรวจจับข้อบกพร่องในสัญญาอัจฉริยะ น่าเสียดายที่รายงานของเขาถูกปฏิเสธเนื่องจากเรื่องที่เกี่ยวข้องกับบัญชีที่ได้รับสิทธิพิเศษไม่อยู่ในขอบเขตที่น่ากังวล

มอร์ริสกล่าวว่าเขาได้ยื่นรายงานข้อผิดพลาดเกี่ยวกับ Immunefi แต่ถูกทำเครื่องหมายว่าได้รับการแก้ไขแล้ว เนื่องจากปัญหาส่งผลกระทบต่อบัญชีที่ได้รับสิทธิพิเศษเท่านั้น และเหตุการณ์ดังกล่าวอยู่นอกขอบเขต” (ถอดความ)

Sid Ramesh จาก Coinbase ตอบกลับ

ในการเข้าร่วมการสนทนา Sid Ramesh ซึ่งดำรงตำแหน่ง Product and Consumer Onchain Lead ที่ Coinbase ได้ให้ข้อมูลเชิงลึกแก่เขา แม้ว่าเขาจะเห็นด้วยกับความกังวลของ Morris แต่ Ramesh ก็แสดงให้เห็นชัดเจนว่าเขาไม่ใช่บุคคลที่เหมาะสมที่จะหารือเกี่ยวกับบทบาทของ Coinbase ในกรณีนี้โดยเฉพาะ

เขาเน้นย้ำว่า Coinbase ปฏิบัติตามการตรวจสอบและกระบวนการที่เข้มงวดสำหรับเทคโนโลยีการคำนวณหลายฝ่าย (MPC) อย่างไรก็ตาม คำแถลงของเขาเปิดโอกาสให้มีการชี้แจงเพิ่มเติมเกี่ยวกับบทบาทของ Coinbase โดยแนะนำว่าสามารถแบ่งปันข้อมูลเพิ่มเติมได้ในภายหลัง ทวีตที่ฝังอยู่

ในฐานะนักวิจัยที่เจาะลึกในสาขานี้ ฉันเพิ่งพบข่าวที่น่าสนใจ: Rune Christensen หนึ่งในผู้ร่วมก่อตั้ง Sky เปิดเผยกับ Cointelegraph ว่าในระหว่างการตั้งค่าเริ่มต้นของบัญชี MPC ด้วย Coinbase Custody ซึ่งเป็นคีย์ส่วนตัวที่จำเป็นสำหรับการสร้างบัญชีใหม่ ถูกทำลายโดยเจตนา

ในขณะที่ Sky จัดการกับปัญหาด้านความปลอดภัย Sky ก็กำลังเผชิญกับการเปลี่ยนแปลงครั้งใหญ่ในกรอบเศรษฐกิจไปพร้อมๆ กัน Christensen ผู้ร่วมก่อตั้งได้เสนอแนะให้ใช้ระบบภาวะเงินฝืด เพื่อยุติการสร้างโทเค็นใหม่อย่างมีประสิทธิภาพ แต่จะเน้นไปที่การทำลายสิ่งที่มีอยู่ ซึ่งเป็นการเคลื่อนไหวที่เขาคิดว่าจะเสริมความแข็งแกร่งให้กับโปรโตคอล และสอดคล้องกับการออกแบบการกระจายโทเค็นเริ่มแรกมากขึ้น

2024-12-06 21:21