- ผู้โจมตีใช้เวลากว่าสองวันในการสร้าง 423 กระเป๋าเงินและพูลโทเค็นปลอมก่อนการโจมตี
- ช่องโหว่ในการป้องกัน slippage นับมูลค่าโทเค็นเดียวกันซ้ำสองครั้งในขั้นตอนการสวอปต่อเนื่อง
- Tether แช่แข็ง USDT มูลค่า 3.29 ล้านดอลลาร์โดยตรงในกระเป๋าเงินของผู้โจมตีเมื่อเริ่มความพยายามในการกู้คืน
Rhea Finance เผยแพร่รายงานหลังเหตุการณ์โดยละเอียดในสัปดาห์นี้หลังจากสูญเสีย 18.4 ล้านดอลลาร์จากการโจมตีที่นักสืบสวนอธิบายว่าเป็นการรวมกันของเวกเตอร์การโจมตี DeFi ที่รู้จักสองแบบมาประกอบเป็นสิ่งใหม่ พวกเขาเปิดเผยว่าการโจมตีไม่ได้เกิดขึ้นในไม่กี่นาที แต่ใช้เวลาเตรียมการสองวัน
การเตรียมการ
ระหว่างวันที่ 13 ถึง 15 เมษายน ผู้โจมตีสร้างโครงสร้างพื้นฐานที่จำเป็นสำหรับการระบายเงินอย่างเงียบ ๆ:
- สร้างกระเป๋าเงินเป้าหมายที่ได้รับเงินทุนผ่านการโอนข้ามเชน
- กระจายเงินทุนไปยัง 423 กระเป๋าเงินตัวกระจายที่ไม่ซ้ำกันอย่างรวดเร็วด้วยระบบอัตโนมัติ
- ปรับใช้สัญญาโทเค็นปลอมที่สร้างขึ้นเฉพาะซึ่งไม่แสดงข้อมูลเมตาดาต้าแบบมาตรฐาน
- สร้างพูลเทรดใหม่แปดพูลบน Ref Finance โดยจับคู่โทเค็นปลอมกับ USDC, USDT และ wNEAR ในอัตราราคาที่ควบคุมอย่างเทียม
- สร้างเราเตอร์สวอปเชื่อมต่อพูลปลอมเหล่านี้เป็นเวกเตอร์การโจมตี
เมื่อถึงเวลาที่การโจมตีเริ่มขึ้นในวันที่ 16 เมษายน โครงสร้างพื้นฐานทั้งหมดได้เตรียมพร้อมและรออยู่แล้ว
กลเม็ด Slippage ทำงานอย่างไร
ความซับซ้อนทางเทคนิคของการโจมตีคือสิ่งที่ทำให้มันน่าสนใจ ฟีเจอร์การเทรดมาร์จิ้นของ Rhea Finance มีการป้องกัน slippage ที่รวมผลลัพธ์ที่คาดหวังในทุกขั้นตอนการสวอปเพื่อยืนยันว่าผู้ใช้ได้รับมูลค่าที่ยุติธรรม ผู้โจมตีพบช่องโหว่ในวิธีที่การคำนวณนั้นทำงานในขั้นตอนต่อเนื่อง
การโจมตีในแง่ที่เข้าใจง่าย:
- ขั้นตอนที่ 1: 1,000 USDC แปลงเป็น 999 AttackerToken โดยมีผลลัพธ์ขั้นต่ำ 999
- ขั้นตอนที่ 2: 999 AttackerToken แปลงกลับเป็น 1 USDC โดยมีผลลัพธ์ขั้นต่ำ 1
- การตรวจสอบ Slippage เห็นว่า: 999 บวก 1 เท่ากับ 1,000 ดูเหมือนโอเค
- ความเป็นจริง: มีเพียง 1 USDC เท่านั้นที่กลับมายังโปรโตคอล 999 USDC อยู่ในพูลของผู้โจมตี
การตรวจสอบนับ AttackerToken เป็นผลลัพธ์สุดท้ายโดยไม่รู้ว่ามันถูกใช้ไปทันทีเป็นอินพุตสำหรับขั้นตอนถัดไป เงินทุนที่ยืมมาถูกส่งเข้าไปในพูลปลอมของผู้โจมตี สถานะมีมูลค่าน้อยกว่าหนี้ทันที กระตุ้นการบังคับชำระหนี้ที่ระบายพูลสำรองออก
ตัวอย่างที่ใกล้เคียงที่สุดคือการโจมตี KyberSwap ในปี 2023 ซึ่งสูญเสีย 54.7 ล้านดอลลาร์โดยใช้หลักการเดียวกันในการนับมูลค่าเดียวกันซ้ำสองครั้งในการดำเนินการต่อเนื่อง
สถานการณ์ปัจจุบัน
ประมาณ 9 ล้านดอลลาร์จาก 18.4 ล้านดอลลาร์ได้รับการกู้คืนหรือแช่แข็งแล้ว รวมถึง USDT มูลค่า 3.29 ล้านดอลลาร์ที่ถูกแช่แข็งโดย Tether โดยตรงในกระเป๋าเงินของผู้โจมตี สัญญาการให้กู้ยืมถูกหยุดชั่วคราวในขณะที่ความพยายามในการกู้คืนดำเนินต่อไป
ทีม Near Intents แนะนำว่าผู้โจมตีได้รับการระบุตัวตนแล้วและอาจมีการปรากฏตัวต่อสาธารณะบน X การติดตามอย่างเป็นทางการได้เปิดขึ้นกับตลาดแลกเปลี่ยนแบบรวมศูนย์เพื่อระบุเจ้าของบัญชี
รายงานหลังเหตุการณ์ของ Rhea Finance รวมถึงลำดับเหตุการณ์การโจมตีทั้งหมด แฮชธุรกรรม และโค้ดที่มีช่องโหว่แบบละเอียด มันถูกอธิบายว่าเป็นหนึ่งในการเปิดเผยการโจมตีที่ละเอียดที่สุดในประวัติศาสตร์ DeFi
เกี่ยวข้อง: Rhea Finance ถูกโจมตี 7.6 ล้านดอลลาร์หลังการโจมตีพูลโทเค็นปลอม
ข้อจำกัดความรับผิด: ข้อมูลที่นำเสนอในบทความนี้มีวัตถุประสงค์เพื่อให้ข้อมูลและการศึกษาเท่านั้น บทความนี้ไม่ถือเป็นคำแนะนำทางการเงินหรือคำแนะนำใด ๆ Coin Edition ไม่รับผิดชอบต่อความสูญเสียใด ๆ ที่เกิดขึ้นจากการใช้เนื้อหา ผลิตภัณฑ์ หรือบริการที่กล่าวถึง ขอแนะนำให้ผู้อ่านใช้ความระมัดระวังก่อนดำเนินการใด ๆ ที่เกี่ยวข้องกับบริษัท
แหล่งที่มา: https://coinedition.com/18-4m-rhea-finance-hack-built-over-two-days-post-mortem-reveals/
