นักวิจัยพบช่องโหว่ของ Ethereum Smart Contract กว่า 34,200 ตัวอย่าง

นักวิจัยจาก National University of Singapore ได้ค้นพบ Bug ใน Ethereum Smart Contact จำนวนกว่า 34,200 สัญญา โดยช่องโหว่ที่อาจจะเกิดขึ้นกับสัญญาในการใช้งาน เช่น สามารถส่งเงินทุนไปยัง Ethereum address ผิดได้ สามารถล็อกโดยบุคคลอื่นหรือแช่แข็งทุนได้ถาวร เป็นต้น

credit : codebrahma.com

Smart Contract คือ ‘Set of code’ ทำหน้าที่กำหนดการรับส่งทรัพย์สินหรือ Digital Currency ให้เป็นไปได้อย่างอัตโนมัติเมื่อตรงตามเงื่อนไขที่กำหนดในสัญญา ยกตัวอย่างการใช้ในงานประมูล เช่น กำหนดให้ก่อนขายวัตถุที่ประมูลต้องมีการประมูลก่อนจำนวน 100 ครั้ง ก็จะกำหนดเงื่อนไขโปรแกรมให้ X>100 ก่อนที่จะอนุญาตให้วัตถุนั้นถูกขายออกไปให้คนที่เสนอราคาประมูลสูงสุด เมื่อตรงตามข้อกำหนดแล้ว Smart Contact จะสร้าง Ether Transaction กับผู้ชนะการประมูลและสร้างคำสั่งขายอย่างอัตโนมัติ ดังนั้นจะเห็นได้ว่ามันก็คือ Code ซึ่งสามารถเกิด Bug ได้นั่นเอง

ก่อนหน้านี้นักวิจัยทีมนี้ได้เคยตีพิมพ์ผลงานวิจัยมาแล้วในปี 2016 โดยสร้างเครื่องมือชื่อ Oyente เพื่อสแกนหาช่องโหว่ของ Ethereum Smart Contract และพบว่า 8,833 สัญญาจาก 19,366 สัญญานั้นมีช่องโหว่แต่เวลานั้นไม่ได้รับความสนใจมากนัก

credit : Bleeping Computer

อย่างไรก็ตามเมื่อเกิดเหตุที่ผู้ใช้ GitHub ที่ชื่อ Devops199 ได้ทำให้เกิด Bug กับ Parity Ethereum Wallet ซึ่งมีมูลค่ากว่า 285 ล้านดอลล่าร์สหรัฐฯ (เมื่อเดือนพฤศจิกายนปีที่แล้ว) ทางทีมนักวิจัยจึงได้กลับมาสนใจในงานนี้อีกครั้งหนึ่งซึ่งครั้งนี้มีเครื่องมือตัวใหม่ที่ชื่อว่า Maian ซึ่งสามารถสแกนหาช่องโหว่ได้มากกว่าเดิม ผลลัพธ์คือ 3.5% ของ Smart Contracts จำนวน 970,898 มีช่องโหว่ นั่นอาจจะทำให้แฮ็กเกอร์สามารถขโมยหรือล็อกสัญญานั้นได้ อย่างไรก็ตามทีมนักวิจัยไม่ได้แจกเครื่องมือ Maian ไว้เพราะกลัวถูกนำไปใช้ในทางไม่ดี (มีเครื่องมือสแกนช่องโหว่แนะนำอีกตัวชื่อ mythril ) ผู้สนใจสามารถติดตามงานวิจัยฉบับล่าสุดได้ที่ https://arxiv.org/pdf/1802.06038.pdf

ที่มา : https://www.bleepingcomputer.com/news/cryptocurrency/researchers-find-34-200-vulnerable-ethereum-smart-contracts/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Kali Linux ออกอัปเดต 2023.2 มาพร้อมเครื่องมือใหม่ 13 ตัวและ pre-built Hyper-V image

Kali Linux ออกอัปเดต 2023.2 มาพร้อมเครื่องมือใหม่ 13 ตัวและ pre-built Hyper-V image

Cisco ประกาศเข้าซื้อกิจการ Armorblox ผู้พัฒนา Generative AI สำหรับ CyberSecurity

Cisco ประกาศเข้าซื้อกิจการ Armorblox บริษัทสตาร์ทอัพผู้พัฒนา Generative AI สำหรับ CyberSecurity