Inverse Finance แพลตฟอร์ม DeFi ที่ทำงานอยู่บนเครือข่ายบล็อกเชน Ethereum เผยเมื่อวันเสาร์ที่ผ่านมา (2 เมษายน) ว่า โดนแฮ็กเกอร์ขโมยคริปโตบนแพลตฟอร์มไปมูลค่ารวมกว่า 500 ล้านบาท
โดยทาง Inverse กล่าวว่า กลุ่มแฮ็กเกอร์มุ่งเป้าไปที่ตลาดของเหรียญ Anchor เป็นหลัก จากการเป็นโทเคนที่เกี่ยวข้องกับการปล่อยกู้โดยใช้เงินหลักประกันต่ำ
การแฮ็กครั้งดังกล่าวนับเป็นการสูญเงินมูลค่าหลายร้อยล้านอีกครั้งในโลก DeFi หลังจากที่ในสัปดาห์ที่ผ่านมา แพลตฟอร์มเกมดังอย่าง Axie Infinity ก็เพิ่งโดนแฮ็กเครือข่าย Ronin ไปมูลค่าแตะหลายหมื่นล้านบาท หลังจากนั้นไม่กี่วันถัดมา Ola Finance ก็มีข่าวโดนแฮ็กไปอีกราว 100 ล้านบาทเช่นเดียวกัน
จากข้อมูลของ PeckShield บริษัทด้านความปลอดภัยในคริปโต ชี้ว่า กลุ่มแฮ็กเกอร์ใช้ประโยชน์จากความเปราะบางของระบบ Inverse ที่ใช้ Keep3r Oracle ในการติดตามราคาเหรียญ โดยทำให้ระบบ Oracle เข้าใจว่ามูลค่าเหรียญของ Inverse ซึ่งก็คือ INV มีมูลค่าสูงกว่า ก่อนจะนำเหรียญดังกล่าวไปแลก Anchor ออกมาในมูลค่าที่สูงเกินความจริงได้สำเร็จ จนเกิดเป็นความเสียหายจากช่องโหว่ดังกล่าวกว่า 500 ล้านบาท
โดยจากรูปการณ์นั้นพบว่า กลุ่มแฮ็กเกอร์มีความสามารถทางการเงินค่อนข้างสูง ผ่านการถอนครั้งแรก 901 ETH มูลค่าราว 90 ล้านบาท จาก Tornado Cash เพื่อแลกเปลี่ยนคริปโตออกมาเป็นเงินโดยไม่สามารถระบุตัวได้ ก่อนจะมีการเติมเงินเข้ามาในคู่เหรียญจำนวนมากบนแพลตฟอร์ม SushiSwap เพื่อทำมูลค่า INV พุ่งสูงขึ้น จากการติดตามระบบของ Keep3r Oracle
หลังจากมูลค่า INV พุ่งสูง กลุ่มแฮ็กเกอร์ก็นำเงินดังกล่าวไปแลก Anchor ออกมา แล้วนำไปแลกเปลี่ยนส่วนต่างของราคา (Arbitrage) เพื่อให้ได้กำไรออกมา
PeckShield มองว่า การนำเงิน 90 ล้านบาท เพื่อมาหลอกระบบของกลุ่มแฮ็กเกอร์นั้นค่อนข้างเสี่ยงที่จะเสียเงินทั้งหมดไป หากระดับราคา INV ร่วงลงก่อนเวลาที่แฮ็กเกอร์จะนำเงินออก
โดยแฮ็กเกอร์ได้ไปทั้งหมด 1,588 ETH, 94 WBTC, 39 YFI และ 3,999,669 DOLA และแฮ็กเกอร์ได้นำเงินออกผ่าน Tornado Cash ซึ่งทำให้ยากต่อการติดตาม และเหลือเงินทิ้งไว้ใน Ethereum Wallet เพียง 73.5 ETH มูลค่าราว 8 ล้านบาท
Inverse ได้หาทางแก้ไขปัญหาดังกล่าวโดยการระงับการยืมเงินผ่าน Anchor ชั่วคราวแล้ว และยังหาความร่วมมือกับทางเครือข่าย Chainlink เพื่อสร้าง INV Oracle อันใหม่ไว้เพื่อแก้ไขข้อผิดพลาดของระบบตามข้อมูลสินทรัพย์ พร้อมทั้งได้ออกข้อเสนอผ่าน DAO เพื่อชดใช้ค่าเสียหายเต็มจำนวนให้กับกลุ่มคนที่ได้รับความเสียหายจากการผันผวนอย่างรุนแรงของราคาเหรียญในช่วงที่มีการแฮ็กดังกล่าวอีกด้วย
อ้างอิง: