นักวิจัยพบช่องโหว่ของ Ethereum Smart Contract กว่า 34,200 ตัวอย่าง

นักวิจัยจาก National University of Singapore ได้ค้นพบ Bug ใน Ethereum Smart Contact จำนวนกว่า 34,200 สัญญา โดยช่องโหว่ที่อาจจะเกิดขึ้นกับสัญญาในการใช้งาน เช่น สามารถส่งเงินทุนไปยัง Ethereum address ผิดได้ สามารถล็อกโดยบุคคลอื่นหรือแช่แข็งทุนได้ถาวร เป็นต้น

credit : codebrahma.com

Smart Contract คือ ‘Set of code’ ทำหน้าที่กำหนดการรับส่งทรัพย์สินหรือ Digital Currency ให้เป็นไปได้อย่างอัตโนมัติเมื่อตรงตามเงื่อนไขที่กำหนดในสัญญา ยกตัวอย่างการใช้ในงานประมูล เช่น กำหนดให้ก่อนขายวัตถุที่ประมูลต้องมีการประมูลก่อนจำนวน 100 ครั้ง ก็จะกำหนดเงื่อนไขโปรแกรมให้ X>100 ก่อนที่จะอนุญาตให้วัตถุนั้นถูกขายออกไปให้คนที่เสนอราคาประมูลสูงสุด เมื่อตรงตามข้อกำหนดแล้ว Smart Contact จะสร้าง Ether Transaction กับผู้ชนะการประมูลและสร้างคำสั่งขายอย่างอัตโนมัติ ดังนั้นจะเห็นได้ว่ามันก็คือ Code ซึ่งสามารถเกิด Bug ได้นั่นเอง

ก่อนหน้านี้นักวิจัยทีมนี้ได้เคยตีพิมพ์ผลงานวิจัยมาแล้วในปี 2016 โดยสร้างเครื่องมือชื่อ Oyente เพื่อสแกนหาช่องโหว่ของ Ethereum Smart Contract และพบว่า 8,833 สัญญาจาก 19,366 สัญญานั้นมีช่องโหว่แต่เวลานั้นไม่ได้รับความสนใจมากนัก

credit : Bleeping Computer

อย่างไรก็ตามเมื่อเกิดเหตุที่ผู้ใช้ GitHub ที่ชื่อ Devops199 ได้ทำให้เกิด Bug กับ Parity Ethereum Wallet ซึ่งมีมูลค่ากว่า 285 ล้านดอลล่าร์สหรัฐฯ (เมื่อเดือนพฤศจิกายนปีที่แล้ว) ทางทีมนักวิจัยจึงได้กลับมาสนใจในงานนี้อีกครั้งหนึ่งซึ่งครั้งนี้มีเครื่องมือตัวใหม่ที่ชื่อว่า Maian ซึ่งสามารถสแกนหาช่องโหว่ได้มากกว่าเดิม ผลลัพธ์คือ 3.5% ของ Smart Contracts จำนวน 970,898 มีช่องโหว่ นั่นอาจจะทำให้แฮ็กเกอร์สามารถขโมยหรือล็อกสัญญานั้นได้ อย่างไรก็ตามทีมนักวิจัยไม่ได้แจกเครื่องมือ Maian ไว้เพราะกลัวถูกนำไปใช้ในทางไม่ดี (มีเครื่องมือสแกนช่องโหว่แนะนำอีกตัวชื่อ mythril ) ผู้สนใจสามารถติดตามงานวิจัยฉบับล่าสุดได้ที่ https://arxiv.org/pdf/1802.06038.pdf

ที่มา : https://www.bleepingcomputer.com/news/cryptocurrency/researchers-find-34-200-vulnerable-ethereum-smart-contracts/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tencent เปิดตัว Hunyuan Large เคลมเหนือ Llama 3.1 70B และ 405B

Tencent บริษัทยักษ์ใหญ่สัญชาติจีน ล่าสุดได้เปิดตัวโมเดล Open Source ใหม่ภายใต้ชื่อ Hunyuan Large ขนาด 389B พารามิเตอร์ ที่รองรับ Context ยาวถึง 256,000 …

Google Cloud บังคับทำ MFA ทุกบัญชีภายในปี 2025

สำหรับผู้ที่ใช้งาน Google Cloud อาจจะมีขั้นตอนในการยืนยันตัวตนเพิ่มเติมอีกเล็กน้อย แต่ก็น่าจะมั่นใจได้มากขึ้น เนื่องจากล่าสุด Google ได้ประกาศว่าจะบังคับให้ผู้ใช้งาน Google Cloud ทุกบัญชีต้องทำ Multi-Factor Authentication (MFA) ภายในสิ้นปี …