นักพัฒนาเตือน 'DeFi ทั้งหมดไม่ปลอดภัย' ขณะที่ AI Agents กำลังเปลี่ยนโฉมภัยคุกคามด้านความปลอดภัย

ผู้โจมตีดูดเงินประมาณ 200,000 ดอลลาร์จาก liquidity pools ของ DeFi บน Ethereum โดยเฉพาะ Uniswap V3 หลังจากใช้ประโยชน์จากจุดอ่อนในระบบ incentive ของ WUSD.fi และ GLOVE ตามรายงานของนักวิจัยด้านความปลอดภัยจาก ExVul

ผู้โจมตีหมุนเวียนเงินผ่านกระเป๋าเงินหลายใบเพื่อเก็บเกี่ยวรางวัลซ้ำแล้วซ้ำเล่า โดยใช้ประโยชน์จากข้อบกพร่องที่ฝังอยู่ในโครงสร้าง incentive ของโปรโตคอล

คลื่นการโจมตีที่ถาโถมระบบนิเวศ

เหตุการณ์ดังกล่าวเป็นหนึ่งในหลายเหตุการณ์ที่สั่นสะเทือนพื้นที่ DeFi ในช่วงไม่กี่วันที่ผ่านมา โฆษณา Google ปลอมที่แอบอ้างเป็น Uniswap ก็ปรากฏขึ้นเมื่อต้นสัปดาห์ที่ผ่านมา โดยพาผู้ใช้ที่ไม่ระวังตัวไปยังเว็บไซต์ฟิชชิ่งที่ออกแบบมาเพื่อขโมยข้อมูลประจำตัวของกระเป๋าเงิน ซึ่งเป็นการหลอกลวงที่รายงานระบุว่าดูดเงินไปอย่างน้อย 400,000 ดอลลาร์ก่อนที่จะถูกตรวจพบ

เหตุการณ์ที่เกิดขึ้นต่อเนื่องกันนี้ทำให้ Manuel Aráoz ผู้ก่อตั้ง OpenZeppelin ซึ่งเป็นหนึ่งในบริษัทรักษาความปลอดภัย smart contract ที่ใช้กันอย่างแพร่หลายที่สุดในอุตสาหกรรม ออกมาเตือนสาธารณะอย่างตรงไปตรงมา

Aráoz กล่าวว่าตอนนี้เขาถือว่า DeFi ทั้งหมดไม่ปลอดภัย ซึ่งเป็นคำกล่าวที่แพร่กระจายอย่างรวดเร็วในวงการนักพัฒนาหลังจากที่เขาโพสต์ออนไลน์

เหตุผลของเขาตัดตรงไปยังปัญหาพื้นฐานของวิธีการทำงานของความปลอดภัยบล็อกเชน ฝ่ายป้องกันต้องค้นหาและแก้ไขช่องโหว่ทุกจุด ในขณะที่ผู้โจมตีต้องการเพียงจุดเดียวเพื่อดูดเงินออกจากโปรโตคอลทั้งหมด

เครื่องมือ AI เปลี่ยนดุลอำนาจ

Aráoz ชี้ให้เห็นว่าเครื่องมือเขียนโค้ดที่ขับเคลื่อนด้วย AI เป็นสาเหตุที่ทำให้การรักษาสมดุลนั้นยากขึ้น รายงานระบุว่าเขาเชื่อว่าเครื่องมือเหล่านี้ช่วยให้ผู้โจมตีสามารถสแกนสัญญาเพื่อหาจุดอ่อนด้วยความเร็วและขนาดที่ทีมรักษาความปลอดภัยส่วนใหญ่ไม่สามารถตามทัน

เขาไปไกลกว่านั้นในการสื่อสารส่วนตัว โดยมีรายงานว่าแนะนำเพื่อนและครอบครัวให้ถอนเงินออกจากแพลตฟอร์ม DeFi หลักทั้งหมด รวมถึง Aave, MakerDAO และ Compound แพลตฟอร์มทั้งสามนั้นคิดเป็นสัดส่วนสำคัญของมูลค่ารวมที่ล็อคไว้ในการเงินแบบกระจายศูนย์

นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์ได้หยิบยกความกังวลที่คล้ายกัน โดยเตือนว่า AI กำลังเร่งความเร็วที่ผู้โจมตีสามารถทำแผนช่องโหว่ สร้างโครงสร้างพื้นฐานฟิชชิ่ง และดำเนินกลยุทธ์การโจมตีจำลองกับโปรโตคอลที่ใช้งานจริง

ปัญหานี้ยิ่งทวีความรุนแรงขึ้นจากวิธีการสร้างโปรโตคอล DeFi สมัยใหม่ หลายโปรโตคอลในปัจจุบันซ้อนส่วนประกอบหลายอย่างทับกัน ไม่ว่าจะเป็น bridges, ระบบการให้กู้ยืม, กลไกการ staking, สัญญาให้รางวัลอัตโนมัติ และแต่ละชั้นที่เพิ่มขึ้นก็ขยายพื้นที่ที่ต้องป้องกันออกไป

OpenZeppelin เองเคยระบุก่อนหน้านี้ว่าการรวมกันเหล่านี้อันตรายเพียงใด โดยระบุช่องโหว่ที่เกิดจากการปฏิสัมพันธ์ระหว่างมาตรฐาน ERC-2771 และ Multicall ซึ่งเป็นประเภทสัญญาที่ใช้กันอย่างแพร่หลายสองประเภทที่สร้างความเปิดเผยโดยไม่ได้ตั้งใจเมื่อใช้ร่วมกัน

โปรโตคอลหลักได้ตอบสนองด้วยการทุ่มทรัพยากรลงในการตรวจสอบ โปรแกรม bug bounty และการยืนยันอย่างเป็นทางการ รายงานระบุว่าแม้แต่ความพยายามเหล่านั้นก็ยังไม่ได้ปิดประตูการโจมตีฟิชชิ่งและแผนการจัดการ incentive อย่างสมบูรณ์

ความกังวลในตอนนี้คือโปรเจกต์ DeFi ขนาดเล็กที่ไม่มีงบประมาณสำหรับการตรวจสอบความปลอดภัยอย่างต่อเนื่องจะสามารถรับมือกับผู้โจมตีที่เคลื่อนไหวเร็วกว่าเดิมได้หรือไม่

ภาพเด่นจาก Binance, กราฟจาก TradingView