IBM Flashsystem

นักวิจัยพบช่องโหว่ของ Ethereum Smart Contract กว่า 34,200 ตัวอย่าง

นักวิจัยจาก National University of Singapore ได้ค้นพบ Bug ใน Ethereum Smart Contact จำนวนกว่า 34,200 สัญญา โดยช่องโหว่ที่อาจจะเกิดขึ้นกับสัญญาในการใช้งาน เช่น สามารถส่งเงินทุนไปยัง Ethereum address ผิดได้ สามารถล็อกโดยบุคคลอื่นหรือแช่แข็งทุนได้ถาวร เป็นต้น

credit : codebrahma.com

Smart Contract คือ ‘Set of code’ ทำหน้าที่กำหนดการรับส่งทรัพย์สินหรือ Digital Currency ให้เป็นไปได้อย่างอัตโนมัติเมื่อตรงตามเงื่อนไขที่กำหนดในสัญญา ยกตัวอย่างการใช้ในงานประมูล เช่น กำหนดให้ก่อนขายวัตถุที่ประมูลต้องมีการประมูลก่อนจำนวน 100 ครั้ง ก็จะกำหนดเงื่อนไขโปรแกรมให้ X>100 ก่อนที่จะอนุญาตให้วัตถุนั้นถูกขายออกไปให้คนที่เสนอราคาประมูลสูงสุด เมื่อตรงตามข้อกำหนดแล้ว Smart Contact จะสร้าง Ether Transaction กับผู้ชนะการประมูลและสร้างคำสั่งขายอย่างอัตโนมัติ ดังนั้นจะเห็นได้ว่ามันก็คือ Code ซึ่งสามารถเกิด Bug ได้นั่นเอง

ก่อนหน้านี้นักวิจัยทีมนี้ได้เคยตีพิมพ์ผลงานวิจัยมาแล้วในปี 2016 โดยสร้างเครื่องมือชื่อ Oyente เพื่อสแกนหาช่องโหว่ของ Ethereum Smart Contract และพบว่า 8,833 สัญญาจาก 19,366 สัญญานั้นมีช่องโหว่แต่เวลานั้นไม่ได้รับความสนใจมากนัก

credit : Bleeping Computer

อย่างไรก็ตามเมื่อเกิดเหตุที่ผู้ใช้ GitHub ที่ชื่อ Devops199 ได้ทำให้เกิด Bug กับ Parity Ethereum Wallet ซึ่งมีมูลค่ากว่า 285 ล้านดอลล่าร์สหรัฐฯ (เมื่อเดือนพฤศจิกายนปีที่แล้ว) ทางทีมนักวิจัยจึงได้กลับมาสนใจในงานนี้อีกครั้งหนึ่งซึ่งครั้งนี้มีเครื่องมือตัวใหม่ที่ชื่อว่า Maian ซึ่งสามารถสแกนหาช่องโหว่ได้มากกว่าเดิม ผลลัพธ์คือ 3.5% ของ Smart Contracts จำนวน 970,898 มีช่องโหว่ นั่นอาจจะทำให้แฮ็กเกอร์สามารถขโมยหรือล็อกสัญญานั้นได้ อย่างไรก็ตามทีมนักวิจัยไม่ได้แจกเครื่องมือ Maian ไว้เพราะกลัวถูกนำไปใช้ในทางไม่ดี (มีเครื่องมือสแกนช่องโหว่แนะนำอีกตัวชื่อ mythril ) ผู้สนใจสามารถติดตามงานวิจัยฉบับล่าสุดได้ที่ https://arxiv.org/pdf/1802.06038.pdf

ที่มา : https://www.bleepingcomputer.com/news/cryptocurrency/researchers-find-34-200-vulnerable-ethereum-smart-contracts/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

OutSystems’ เปิดตัว ‘Agent Workbench’ เร่งเดินหน้านวัตกรรม AI ระดับองค์กร [Press Release]

กรุงเทพฯ, ประเทศไทย – 17 กรกฎาคม 2568 – OutSystems ผู้นำด้านแพลต์ฟอร์มพัฒนา low-code ที่ขับเคลื่อนด้วย AI ได้ประกาศเปิดตัวโปรแกรม Early Access สำหรับ OutSystems Agent Workbench วันนี้ Agent Workbench จะเป็นตัวช่วยองค์กรต่าง ๆ ในการสร้างและประสานงาน Intelligent Agent เพื่อการใช้งานทุกรูปแบบ ไม่ว่าจะเป็น Workflow หรือข้อมูลแบบใดก็ตาม พร้อมทั้งยังมีระบบรักษาความปลอดภัยและการควบคุมระดับองค์กรอีกด้วย Agent Workbench ผ่านการพัฒนาบนแพลตฟอร์มที่เชื่อถือได้ของ OutSystems เพื่อช่วยให้ผู้นำองค์กรสามารถสร้างสรรค์นวัตกรรมได้อย่างรวดเร็วและประสานงานความร่วมมือระหว่างมนุษย์กับ AI ได้ง่ายดายกว่าที่เคย

Radware เผยแฮ็กเกอร์ประเทศเพื่อนบ้านล็อกเป้าไทย หน่วยงานรัฐฯตกเป็นกลุ่มเสี่ยงอันดับหนึ่ง

ในสถานการณ์ที่ประเทศไทยกำลังมีคู่ขัดแย้งที่ชายแดน สิ่งหนึ่งที่หลายท่านอาจไม่ทันสังเกตเห็นก็คือการรุกรานอธิปไตยทางไซเบอร์ แน่นอนว่าการโจมตีทางไซเบอร์เกิดขึ้นเป็นเรื่องปกติในเครือข่ายดิจิทัลที่เชื่อมถึงกัน แต่สิ่งที่แตกต่างออกไปในภาวะเหตุการณ์ขัดแย้ง อย่างน้อยที่สุดธุรกิจไทยหรือหน่วยงานรัฐบาลได้กลายเป็นเป้าหมายที่ถูกล็อกเป้าชัดเจน ดังนั้นการป้องกันตัวของเราต้องรัดกุมมากขึ้น โดย Radware ได้เปิดเผยถึงกิจกรรมการโจมตีที่พวกเขาเฝ้าจับตามาหลายเดือนของกลุ่มนักเคลื่อนไหวที่กำลังล็อกเป้าไทยนามว่า AnonSecKh (Bl4ckCyb3r)