บทความ $18.4M Rhea Finance Hack Built Over Two Days, Post-Mortem Reveals ปรากฏบน BitcoinEthereumNews.com ผู้โจมตีใช้เวลากว่าสองวันในการสร้าง 423 กระเป๋าเงินบทความ $18.4M Rhea Finance Hack Built Over Two Days, Post-Mortem Reveals ปรากฏบน BitcoinEthereumNews.com ผู้โจมตีใช้เวลากว่าสองวันในการสร้าง 423 กระเป๋าเงิน

การแฮ็ก Rhea Finance มูลค่า 18.4 ล้านดอลลาร์ที่สร้างขึ้นภายในสองวัน เปิดเผยในรายงาน Post-Mortem

2026/04/18 19:50
1 นาทีในการอ่าน
หากมีข้อเสนอแนะหรือข้อกังวลเกี่ยวกับเนื้อหานี้ โปรดติดต่อเราได้ที่ crypto.news@mexc.com
  • ผู้โจมตีใช้เวลากว่าสองวันในการสร้าง 423 กระเป๋าเงินและพูลโทเค็นปลอมก่อนการโจมตี
  • ช่องโหว่ในการป้องกัน slippage นับมูลค่าโทเค็นเดียวกันซ้ำสองครั้งในขั้นตอนการสวอปต่อเนื่อง
  • Tether แช่แข็ง USDT มูลค่า 3.29 ล้านดอลลาร์โดยตรงในกระเป๋าเงินของผู้โจมตีเมื่อเริ่มความพยายามในการกู้คืน

Rhea Finance เผยแพร่รายงานหลังเหตุการณ์โดยละเอียดในสัปดาห์นี้หลังจากสูญเสีย 18.4 ล้านดอลลาร์จากการโจมตีที่นักสืบสวนอธิบายว่าเป็นการรวมกันของเวกเตอร์การโจมตี DeFi ที่รู้จักสองแบบมาประกอบเป็นสิ่งใหม่ พวกเขาเปิดเผยว่าการโจมตีไม่ได้เกิดขึ้นในไม่กี่นาที แต่ใช้เวลาเตรียมการสองวัน

การเตรียมการ

ระหว่างวันที่ 13 ถึง 15 เมษายน ผู้โจมตีสร้างโครงสร้างพื้นฐานที่จำเป็นสำหรับการระบายเงินอย่างเงียบ ๆ:

  • สร้างกระเป๋าเงินเป้าหมายที่ได้รับเงินทุนผ่านการโอนข้ามเชน
  • กระจายเงินทุนไปยัง 423 กระเป๋าเงินตัวกระจายที่ไม่ซ้ำกันอย่างรวดเร็วด้วยระบบอัตโนมัติ
  • ปรับใช้สัญญาโทเค็นปลอมที่สร้างขึ้นเฉพาะซึ่งไม่แสดงข้อมูลเมตาดาต้าแบบมาตรฐาน
  • สร้างพูลเทรดใหม่แปดพูลบน Ref Finance โดยจับคู่โทเค็นปลอมกับ USDC, USDT และ wNEAR ในอัตราราคาที่ควบคุมอย่างเทียม
  • สร้างเราเตอร์สวอปเชื่อมต่อพูลปลอมเหล่านี้เป็นเวกเตอร์การโจมตี

เมื่อถึงเวลาที่การโจมตีเริ่มขึ้นในวันที่ 16 เมษายน โครงสร้างพื้นฐานทั้งหมดได้เตรียมพร้อมและรออยู่แล้ว

กลเม็ด Slippage ทำงานอย่างไร

ความซับซ้อนทางเทคนิคของการโจมตีคือสิ่งที่ทำให้มันน่าสนใจ ฟีเจอร์การเทรดมาร์จิ้นของ Rhea Finance มีการป้องกัน slippage ที่รวมผลลัพธ์ที่คาดหวังในทุกขั้นตอนการสวอปเพื่อยืนยันว่าผู้ใช้ได้รับมูลค่าที่ยุติธรรม ผู้โจมตีพบช่องโหว่ในวิธีที่การคำนวณนั้นทำงานในขั้นตอนต่อเนื่อง

การโจมตีในแง่ที่เข้าใจง่าย:

  • ขั้นตอนที่ 1: 1,000 USDC แปลงเป็น 999 AttackerToken โดยมีผลลัพธ์ขั้นต่ำ 999
  • ขั้นตอนที่ 2: 999 AttackerToken แปลงกลับเป็น 1 USDC โดยมีผลลัพธ์ขั้นต่ำ 1
  • การตรวจสอบ Slippage เห็นว่า: 999 บวก 1 เท่ากับ 1,000 ดูเหมือนโอเค
  • ความเป็นจริง: มีเพียง 1 USDC เท่านั้นที่กลับมายังโปรโตคอล 999 USDC อยู่ในพูลของผู้โจมตี

การตรวจสอบนับ AttackerToken เป็นผลลัพธ์สุดท้ายโดยไม่รู้ว่ามันถูกใช้ไปทันทีเป็นอินพุตสำหรับขั้นตอนถัดไป เงินทุนที่ยืมมาถูกส่งเข้าไปในพูลปลอมของผู้โจมตี สถานะมีมูลค่าน้อยกว่าหนี้ทันที กระตุ้นการบังคับชำระหนี้ที่ระบายพูลสำรองออก

ตัวอย่างที่ใกล้เคียงที่สุดคือการโจมตี KyberSwap ในปี 2023 ซึ่งสูญเสีย 54.7 ล้านดอลลาร์โดยใช้หลักการเดียวกันในการนับมูลค่าเดียวกันซ้ำสองครั้งในการดำเนินการต่อเนื่อง

สถานการณ์ปัจจุบัน

ประมาณ 9 ล้านดอลลาร์จาก 18.4 ล้านดอลลาร์ได้รับการกู้คืนหรือแช่แข็งแล้ว รวมถึง USDT มูลค่า 3.29 ล้านดอลลาร์ที่ถูกแช่แข็งโดย Tether โดยตรงในกระเป๋าเงินของผู้โจมตี สัญญาการให้กู้ยืมถูกหยุดชั่วคราวในขณะที่ความพยายามในการกู้คืนดำเนินต่อไป

ทีม Near Intents แนะนำว่าผู้โจมตีได้รับการระบุตัวตนแล้วและอาจมีการปรากฏตัวต่อสาธารณะบน X การติดตามอย่างเป็นทางการได้เปิดขึ้นกับตลาดแลกเปลี่ยนแบบรวมศูนย์เพื่อระบุเจ้าของบัญชี

รายงานหลังเหตุการณ์ของ Rhea Finance รวมถึงลำดับเหตุการณ์การโจมตีทั้งหมด แฮชธุรกรรม และโค้ดที่มีช่องโหว่แบบละเอียด มันถูกอธิบายว่าเป็นหนึ่งในการเปิดเผยการโจมตีที่ละเอียดที่สุดในประวัติศาสตร์ DeFi

เกี่ยวข้อง: Rhea Finance ถูกโจมตี 7.6 ล้านดอลลาร์หลังการโจมตีพูลโทเค็นปลอม

ข้อจำกัดความรับผิด: ข้อมูลที่นำเสนอในบทความนี้มีวัตถุประสงค์เพื่อให้ข้อมูลและการศึกษาเท่านั้น บทความนี้ไม่ถือเป็นคำแนะนำทางการเงินหรือคำแนะนำใด ๆ Coin Edition ไม่รับผิดชอบต่อความสูญเสียใด ๆ ที่เกิดขึ้นจากการใช้เนื้อหา ผลิตภัณฑ์ หรือบริการที่กล่าวถึง ขอแนะนำให้ผู้อ่านใช้ความระมัดระวังก่อนดำเนินการใด ๆ ที่เกี่ยวข้องกับบริษัท

แหล่งที่มา: https://coinedition.com/18-4m-rhea-finance-hack-built-over-two-days-post-mortem-reveals/

โอกาสทางการตลาด
USDCoin โลโก้
ราคา USDCoin(USDC)
$0.9997
$0.9997$0.9997
+0.02%
USD
USDCoin (USDC) กราฟราคาสด
ข้อจำกัดความรับผิดชอบ: บทความที่โพสต์ซ้ำในไซต์นี้มาจากแพลตฟอร์มสาธารณะและมีไว้เพื่อจุดประสงค์ในการให้ข้อมูลเท่านั้น ซึ่งไม่ได้สะท้อนถึงมุมมองของ MEXC แต่อย่างใด ลิขสิทธิ์ทั้งหมดยังคงเป็นของผู้เขียนดั้งเดิม หากคุณเชื่อว่าเนื้อหาใดละเมิดสิทธิของบุคคลที่สาม โปรดติดต่อ crypto.news@mexc.com เพื่อลบออก MEXC ไม่รับประกันความถูกต้อง ความสมบูรณ์ หรือความทันเวลาของเนื้อหาใดๆ และไม่รับผิดชอบต่อการดำเนินการใดๆ ที่เกิดขึ้นตามข้อมูลที่ให้มา เนื้อหานี้ไม่ถือเป็นคำแนะนำทางการเงิน กฎหมาย หรือคำแนะนำจากผู้เชี่ยวชาญอื่นๆ และไม่ถือว่าเป็นคำแนะนำหรือการรับรองจาก MEXC

คุณอาจชอบเช่นกัน

Sandoll เปิดตัวกลยุทธ์การขยายแพลตฟอร์ม AI-Web3

Sandoll เปิดตัวกลยุทธ์การขยายแพลตฟอร์ม AI-Web3

บริษัท Sandoll ซึ่งตั้งอยู่ในเกาหลีใต้ได้ประกาศแผนการขยายธุรกิจเข้าสู่ภาคแพลตฟอร์มผ่านการจัดตั้งหน่วยธุรกิจใหม่ที่ชื่อว่า Sandoll Square โครงการริเริ่มดังกล่าว
แชร์
CoinTrust2026/04/22 13:37
ASTEROID Profit เปลี่ยน $575 เป็น $1.17M

ASTEROID Profit เปลี่ยน $575 เป็น $1.17M

นักเทรดเปลี่ยน $575 เป็น $1.17M ในเพียง 5 วัน หลังขาย 2.79B ASTEROID ได้ 503 ETH กำไรพุ่งกว่า 2,000 เท่า #Crypto #ETH #ASTEROID
แชร์
CoinoMedia2026/04/22 14:00
การนำเสนอคริปโตเริ่มกำหนดทิศทางการเลือกธนาคารในยุโรป แต่กฎระเบียบยังคงขัดขวางการนำไปใช้

การนำเสนอคริปโตเริ่มกำหนดทิศทางการเลือกธนาคารในยุโรป แต่กฎระเบียบยังคงขัดขวางการนำไปใช้

Boerse Stuttgart Digital พบว่า 35% ของนักลงทุนชาวยุโรปพิจารณาที่จะเปลี่ยนธนาคารเพื่อรับบริการคริปโตที่แข็งแกร่งกว่า แม้ว่าช่องว่างด้านกฎระเบียบและการศึกษายังคง
แชร์
Cryptonews AU2026/04/22 12:46

ข่าวสดตลอด 24/7

มากกว่า

ปฐมบท USD1: ค่าเทรด 0 + 12% APR

ปฐมบท USD1: ค่าเทรด 0 + 12% APRปฐมบท USD1: ค่าเทรด 0 + 12% APR

ผู้ใช้ใหม่: สเตกรับสูงสุด 600% APR ระยะเวลาจำกัด!