นักวิจัยด้านความปลอดภัยระบุว่าสะพานข้ามเชน Gravity Bridge ซึ่งตั้งอยู่บน Cosmos ถูกขโมยเงินไปราว 5.4 ล้านดอลลาร์ คาดว่าเกิดจากคีย์ส่วนตัวรั่วไหล ตามรายงานของ The Block ผู้โจมตีได้นำ USDC, ETH, Tether (USDT) รวมถึงโทเคน PAYG ออกไป และได้นำบางส่วนไปฟอกผ่าน ChangeNow และ Binance แล้ว นักวิจัยจัดเหตุการณ์นี้เป็นประเภท “คีย์รั่วไหล” ไม่ใช่ช่องโหว่ในตรรกะของสมาร์ทคอนแทรกต์ กล่าวคือปัญหาอยู่ที่ตัวคีย์ที่ควบคุมทรัพย์สินของสะพาน ไม่ใช่ตัวโค้ดสัญญาที่ถูกเจาะ
สำหรับผู้ใช้บัตร USDT: ยอดเงินของคุณปลอดภัย แต่ต้องดูเส้นทางการหมุนเวียน
ขอสรุปก่อนเลยว่า: หากคุณเก็บ USDT ไว้ในบัญชีบัตร U ประเภทฝากดูแลอย่าง MPCard หรือในบัญชีเทรดที่เชื่อมกับ Bybit Card เหตุการณ์ครั้งนี้จะไม่กระทบยอดเงินของคุณโดยตรง Gravity Bridge คือสะพานเชื่อมทรัพย์สินระหว่างระบบนิเวศ Cosmos กับ Ethereum ทรัพย์สินที่ถูกขโมยคือสภาพคล่องที่ถูกล็อกไว้ในสัญญาของสะพาน ไม่ใช่กระเป๋าเงินส่วนตัวของผู้ใช้บัตรคนใดคนหนึ่ง
แต่ก็มีสัญญาณทางอ้อมสองข้อที่ผู้ใช้บัตร U ควรจดจำไว้:
- ความเสี่ยงในเส้นทางการเติมเงิน: หลายคนมีนิสัยข้ามเชนทรัพย์สินไปยังเครือข่ายที่มีค่าธรรมเนียมถูกกว่าก่อนโอนออก เพื่อเติมเงินเข้าบัตร U หากคุณเคยใช้สะพานข้ามเชนขนาดเล็ก รวมถึง Gravity Bridge เพื่อโยกย้าย USDT เหตุการณ์นี้เตือนให้รู้ว่าการปล่อยเงินให้ค้างอยู่ในสถานะกลางของสะพานเป็นเวลานานเป็นการกระทำที่มีความเสี่ยงสูง ก่อนและหลังการเติมเงิน ควรเลือกใช้เมนเน็ตหรือการโอนภายในของเอ็กซ์เชนจ์ให้มากที่สุด
- ความเสี่ยงจากการเชื่อมโยงกับการฟอกเงินบนเอ็กซ์เชนจ์: การที่ผู้โจมตีนำเงินไปฟอกผ่านเว็บไซต์หลักของ Binance ซึ่งเป็นแหล่งเดียวกับ Binance Card หมายความว่า USDT ชุดที่ปนเปื้อนนี้อาจเข้าไปอยู่ในรายชื่อตรวจสอบด้านการปฏิบัติตามกฎระเบียบของเอ็กซ์เชนจ์ ในระยะสั้น การนำ USDT จำนวนมากที่ไม่ทราบแหล่งที่มาเข้าฝากมีแนวโน้มที่จะกระตุ้นให้เกิดการตรวจสอบด้านความเสี่ยงมากขึ้น
ภายใน 7 วัน: เอ็กซ์เชนจ์มักจะอายัดที่อยู่ที่ตรวจสอบย้อนกลับไปถึงทรัพย์สินที่ถูกขโมยได้ ผู้ใช้ทั่วไปแทบจะไม่รู้สึกถึงผลกระทบในการฝาก-ถอน ภายใน 30 วัน: อาจมีการขยายการติดแท็กออนเชนไปยังกลุ่มที่อยู่ที่เกี่ยวข้องกับคดี ภายใน 90 วัน: หากทรัพย์สินถูกฟอกจนเข้าสู่การหมุนเวียนปกติแล้ว ผลกระทบก็มักจะจางหายไป เว้นแต่หน่วยงานกำกับดูแลเข้ามาเรียกร้องให้เอ็กซ์เชนจ์ตรวจสอบย้อนกลับ หากอยากทราบว่าบัตร U แบบฝากดูแลจัดการความเสี่ยงในการฝากเงินอย่างไร สามารถอ่านบทวิจารณ์ MPCard ก่อนได้
เทียบกับอดีต: เหมือนและต่างจาก “ปีแห่งสะพานข้ามเชน” 2022 อย่างไร
การถูกขโมยจากสะพานข้ามเชนไม่ใช่เรื่องใหม่ ในปี 2022 คดีใหญ่สามคดี ได้แก่ สะพาน Ronin (625 ล้านดอลลาร์), Wormhole (320 ล้านดอลลาร์) และ Nomad (190 ล้านดอลลาร์) ได้ตอกย้ำความเชื่อในวงการว่า “สะพาน” คือจุดเสี่ยงเดี่ยวที่ใหญ่ที่สุดของ DeFi เหตุการณ์ Gravity Bridge ครั้งนี้มีขนาดเล็กกว่ามากที่ 5.4 ล้านดอลลาร์ แต่ลักษณะคล้ายกับกรณี Ronin อย่างมาก คือเป็นการที่คีย์ส่วนตัว/คีย์ของ validator ถูกควบคุม ไม่ใช่การหลบเลี่ยงตรรกะของสัญญา
จุดที่เหมือนกัน: พื้นผิวการโจมตีล้วนอยู่ที่จุดอ่อนด้านธรรมาภิบาลว่า “ใครถือคีย์ม