Syscoin เมื่อวันที่ 8 มิถุนายน ได้เผยแพร่การวิเคราะห์เชิงนิติหลังเหตุ (post-incident) เบื้องต้นบน X โดยยืนยันว่าช่องทางสะพานข้ามสาย (cross-chain bridge) ถูกโจมตีด้านความปลอดภัย ผู้โจมตีใช้ประโยชน์จากช่องโหว่ในการตรวจสอบ (validation) ภายในเส้นทางรีเลย์ของบริดจ์ ทำให้ระบบบริดจ์ตีความธุรกรรมที่เป็นอันตรายว่าเป็นธุรกรรมที่ถูกต้อง และทำให้ฝั่ง UTXO มีการสร้างผลลัพธ์ SYS ที่ไม่ได้รับอนุญาต (unauthorized) ประมาณ 5 พันล้านเหรียญ (50 億) ต่อปัจจุบัน บริการบริดจ์ของ Syscoin ถูกระงับไว้ชั่วคราวแล้ว ทีมงานระบุเส้นทางการตรวจสอบที่ได้รับผลกระทบได้ และมีการกำหนดแนวทางแก้ไขเป็นที่เรียบร้อยแล้ว
กลไกการโจมตี: รายละเอียดทางเทคนิคที่ยืนยันแล้ว
จากการวิเคราะห์เชิงนิติหลังเหตุเบื้องต้นของ Syscoin กลไกหลักของการโจมตีครั้งนี้มีดังนี้: เส้นทางรีเลย์ของบริดจ์รับหรือประมวลผลหลักฐานธุรกรรม (transaction proof) ที่ผู้โจมตีส่งมาอย่างผิดพลาด ส่งผลให้ระบบบริดจ์เข้าใจว่าธุรกรรมมีความถูกต้อง จากนั้นจึงสร้างผลลัพธ์ SYS ที่ไม่ได้รับอนุญาตประมาณ 5 พันล้านเหรียญ ผ่านเส้นทางบริดจ์ฝั่ง UTXO
นี่เป็นการโจมตีแบบหลีกเลี่ยงการตรวจสอบ (validation bypass) ไม่ใช่การขโมยโดยตรงจากการขโมยกุญแจส่วนตัว (private key) ที่อยู่ที่เกี่ยวข้อง ที่อยู่เริ่มต้นที่ได้รับผลกระทบคือ sys1qgaelv690g7wwp2xchfdh0enf5uewzq5sm9wvcw จากนั้นเงินถูกนำไปใช้งานต่อและถูกแยกออก (splitting) เพิ่มเติม
ในการวิเคราะห์ภายหลัง Syscoin ได้ให้แฮชธุรกรรมที่เกี่ยวข้อง 3 รายการ ซึ่งสามารถตรวจสอบได้แบบสาธารณะบนเบราว์เซอร์ Syscoin BlockBook
การดำเนินการที่ทำแล้วและสถานะการแก้ไข
ตามประกาศอย่างเป็นทางการของ Syscoin การดำเนินการที่ทีมงานได้ทำแล้วรวมถึง: ระงับบริการบริดจ์ทันที ติดต่อกับการแลกเปลี่ยน (exchanges) และพันธมิตรที่เกี่ยวข้อง เพื่อขอให้มีการขึ้นบัญชีดำหรือแช่แข็งเงินฝากที่เกี่ยวข้องกับเส้นทาง UTXO ที่ถูกปนเปื้อน (受污染 UTXO) และค่าใช้จ่ายต่อเนื่องทั้งหมด (衍生花費) หรือให้มีการเฝ้าระวังอย่างใกล้ชิด ดำเนินการติดตามเงินทุนที่ได้รับผลกระทบอย่างต่อเนื่อง และประสานงานกับผู้ให้บริการโครงสร้างพื้นฐานและพันธมิตรในระบบนิเวศ
ด้านความคืบหน้าการแก้ไข: ทีมงานระบุเส้นทางการตรวจสอบที่ได้รับผลกระทบได้แล้ว แนวทางการแก้ไขถูกกำหนดแล้ว กำลังดำเนินการนำไปใช้และอยู่ระหว่างการตรวจสอบ หลังจากยืนยันเส้นทางการแก้ไขได้แล้ว ทีมงานจะกำหนดขั้นตอนที่ถูกต้องเพื่อแก้ไขผลลัพธ์ SYS ที่ไม่ได้รับอนุญาตและทำให้ผลกระทบต่อเครือข่ายเป็นกลาง (neutralize) ไปพร้อมกัน
คำถามที่พบบ่อย
ในเหตุการณ์นี้ SYS จำนวน 5 พันล้านเหรียญ ที่ถูกสร้างขึ้น หมายถึง SYS ที่หมุนเวียนจริงหรือไม่?
ตามคำอธิบายของ Syscoin นี่คือผลลัพธ์ SYS ที่ไม่ได้รับอนุญาตซึ่งถูกสร้างขึ้นในฝั่ง UTXO จากช่องโหว่ในการตรวจสอบ จัดเป็นของปลอม (forged) ไม่ใช่ SYS จริงที่ถูกขโมยมาจากที่อยู่ (address) อื่น Syscoin ยืนยันว่ากำลังประสานงานกับการแลกเปลี่ยนเพื่อป้องกันไม่ให้มีการนำ UTXO ที่ถูกปนเปื้อนเข้าไปเก็บหรือทำธุรกรรม และระบุว่าเป็นส่วนหนึ่งของแนวทางแก้ไขคือการยืนยัน “ขั้นตอนที่ถูกต้องในการแก้ไขผลลัพธ์ SYS ที่ไม่ได้รับอนุญาตและทำให้ผลกระทบต่อเครือข่ายเป็นกลาง”
บริการบริดจ์ของ Syscoin จะกลับมาเปิดให้ใช้งานได้เมื่อใด?
ตามประกาศของ Syscoin บริการบริดจ์จะกลับมาเปิดได้หลังจากเสร็จสิ้นการนำแนวทางแก้ไขไปใช้และผ่านการตรวจสอบ รวมถึงการยืนยันขั้นตอนสำหรับการจัดการผลลัพธ์ที่ไม่ได้รับอนุญาต Syscoin ไม่ได้ให้ไทม์ไลน์การกลับมาใช้งานอย่างเฉพาะเจาะจง และแนะนำให้ผู้ใช้ไม่ทำปฏิสัมพันธ์ใดๆ ก่อนที่บริดจ์จะกลับมาเปิดใช้งาน
ผู้ถือ SYS ทั่วไป (ไม่ใช่ผู้ใช้บริดจ์) ได้รับผลกระทบจากเหตุการณ์นี้หรือไม่?
ตามคำอธิบายอย่างเป็นทางการของ Syscoin แก่นของเหตุการณ์ครั้งนี้คือปัญหาเกี่ยวกับการตรวจสอบของเส้นทางรีเลย์ของบริดจ์ ผลกระทบโดยตรงคือการสร้างผลลัพธ์ที่ไม่ได้รับอนุญาตในฝั่ง UTXO และการที่ที่อยู่ที่ถูกปนเปื้อนมี SYS จำนวนมาก Syscoin กำลังประสานงานกับการแลกเปลี่ยนเพื่อยับยั้งไม่ให้ UTXO ที่ถูกปนเปื้อนถูกนำไปหมุนเวียน และแนวทางแก้ไขก็รวมถึงการทำให้ผลลัพธ์ที่ไม่ได้รับอนุญาตไม่ก่อผลต่อเครือข่ายในปัจจุบัน Syscoin ยังไม่ได้ให้คำอธิบายเพิ่มเติมเกี่ยวกับผลกระทบต่อผู้ถือครองทั่วไป
