วันนี้ Value DeFi เจ้าดังโดน hack อีกรอบ จาก TVL เกือบ $1 พันล้าน ตอนนี้เหลือ $131 ล้าน ในเวลาเพียงไม่กี่ชัวโมงเท่านั้น ราคาเหรียญ vBSWAP หายไป ~90% เรียกว่าแทบจะปิดฟาร์มทิ้งได้เลย โดยรอบนี้โดน hack ด้วยอีก 1 ช่องโหว่ใหม่ครับ ครั้งนี้เหมือนจะหนักกว่าโดน hack ครั้งที่แล้วเมื่อ 2 วันที่ผ่านมา ที่โดน hack แค่ 1 pool โดยโดน hack ครั้งนี้เงินคนฟาร์มสูญหายไปอีกหลายร้อยล้านบาทแน่นอน แต่จะถึงพันล้านบาทไหมต้องรอ official confirm อีกครั้งครับ

สำหรับช่องโหว่ที่โดนในรอบนี้คือ สมการคำนวนใน pool ที่ไม่ใช่อัตราส่วน 50-50 ใน code ทำงานผิดพลาดคือไม่ได้เช็ค input ก่อนเอาเข้า function ยกกำลัง power() โดย smart contract code ในส่วน pool ของ Value DeFi ตั้งต้น fork มาจาก UniswapV2 แต่เอามาเขียนเพิ่มในส่วน pool ที่ไม่ใช่อัตราส่วน 50-50 แล้วมีช่องโหว่ครับ

บทเรียนจากเคสนี้คือ ต่อให้เป็น farm เจ้าใหญ่ผ่านการ audit มาแล้วจากหลายสำนักและมี TVL $900+ ล้าน ก็ไม่ได้แปลว่าจะปลอดภัย 100% วันดีคืนดี ราคาเหรียญสามารถหายไปได้ 90% และเงินเราใน pool เขาสามารถหายไปได้หมดเลยในเวลาไม่กี่ชั่วโมง บริหารความเสี่ยงกันดีๆนะครับ

ref1: https://www.defistation.io/valuedefi
ref2: https://bsc.valuedefi.io/#/audit
ref3: https://peckshield.medium.com/valuedefi-incident-incorrect-weighted-constant-product-invariant-calculation-1bbaa220a02b

เมื่อวานนี้ Value DeFi เจ้าดังโดน hack เงินคนฟาร์มสูญหายไปกว่า 300 ล้านบาท ราคาเหรียญลดไปกว่าครึ่ง แอดเห็นข่าวแล้วเสียวแว๊บ เพราะเคยฟาร์มโครงการนี้ โชคดีพึ่งถอน pool ออกไม่กี่วัน ก่อนโดน hack แอดเห็นว่าบทวิเคราะห์น่าสนใจ จริงๆแล้ว hardware wallet มันอาจจะช่วยอะไรเราไม่ได้มาก อย่างที่เราคิดนะ ในเคสการ hack แบบนี้ hw wallet ก็ไม่รอดนะ แอดจะมาวิเคราะห์ให้ฟัง

เริ่มจาก code ของ smart contact pool นี้มี bug คือ ขาดบรรทัดนี้ไป
initialized = true;
ขาด code บรรทัดนี้ไป ก็หมายความว่า smart contract นี้เปรียบเสมือนยังไม่ได้ initialized ใครๆก็สามารถ call function initialize() เพื่อ re-initialize และเป็นเจ้าของ pool นี้ได้ OMG!!!! (นอกเรื่องนิด ท่านี้แอดก็เคยใช้เทสในงานทดสอบเจาะระบบนะ แต่เป็น web application ประเภท CMS คือเอาให้เข้าใจง่าย ตอนเรา install web app พวก CMS แต่เราไม่ได้ลบหน้า install CMS ออก ใครก็เข้าไปหน้า install แล้ว install ซ้ำ ตั้ง password admin ใหม่ได้ แต่โดยปกติ CMS เจ้าดังๆ มันจะลบหน้า install โดยอัติโนมัติอยู่แล้ว ยกเว้นว่ามันจะติด bug ในการ implement บางอย่างเช่น ไม่มีสิทธิลบไฟล์ ณ ขณะ install แล้วปล่อยเลยตามเลย เป็นช่องโหว่มาถึง production)

มาต่อ จากนั้นพอ hacker re-initialize เพื่อเป็น owner ของ pool นี้แล้วก็ทำการ call function governanceRecoverUnsupported() เพื่อเอา LP token ที่อยู่ใน pool นั้นออกมา แล้วเอามาแตก liquidity ออกเป็น vBSWAP และ BUSD จากนั้นเอาไปแลก renBTC และย้ายข้ามไป BTC Blockchain สิริรวม 179 BTC

เราเห็นอะไรไหม ? เจ้าของ farm สามารถ call function governanceRecoverUnsupported() เผื่อเอา LP token ของคนที่เอาเหรียญมาฟาร์มออกไปเมื่อไหร่ก็ได้ เพราะฉะนั้น เราเอาเหรียญไปไว้ใน pool เขา ก็เปรียบเสมือนเราเอาเหรียญไปฝากเขาไว้ เขาจะเอาออกไปเมื่อไหร่ก็ได้ ถ้าเคสเจ้าของ farm จะโกงหรือ smart contract code มีช่องโหว่แบบนี้ hardware wallet ก็ช่วยไม่ได้นะครับ

เพราะฉะนั้นลงทุนด้วยความรู้และเข้าใจความเสี่ยง ขอให้ทุกท่านปลอดภัย

tx ที่ hacker re-initialize: https://bscscan.com/tx/0xd3382252bc204fdc32a6b3add8c639850882b70a798399d6e00a542cdf769040

tx ที่ hacker เอา LP token ออกมา : https://bscscan.com/tx/0x9ba0454c2301ad5780795ae7477e9fa7e38226be16cc282158624479e66389b6

address BTC ของ hacker: https://www.blockchain.com/btc/address/1Cm6WGvXQ9EgvvWX5dRsBxE2NvxFjfbcVF

official ref: https://medium.com/valuedefi/vstake-pool-incident-post-mortem-4550407c9714

DeFi Smart Contract Hacking 101 (EP1. malicious developer)
ตอนนี้กระแส blockchain, smart contract, DeFi, yield farming มาแรงมากๆ ถึงจุดพีคสุดๆ ใครๆก็เข้ามาฟาร์มกัน เอาเงินไปลงไว้ใน pool เพื่อเอา rewards ใน DeFi โครงการต่างๆ ที่เพิ่มจำนวนขึ้นอย่างมากมาย แต่!! เดี๋ยวก่อนนนนนน เราจะรู้ได้ยังไงว่า pool นั้นหรือ DeFi โครงการนั้นๆ เขาจะไม่โกงเรา หรือเอาเงินเราไป เพราะเงินออกจากกระเป๋าเราไปอยู่ใน pool เขาแล้วนะ!! เราอาจจะเคยได้ยินกันมาบ้างว่า เฮ้ยพี่ DeFi นี่มันเปลี่ยนโลกการเงินเลยนะ โลกการเงินยุคใหม่ไม่ต้องมีตัวกลางทางการเงินแล้ว ยุคนี้เขาไม่เชื่อคนกลางกันแล้ว เขาใช้ blockchain, smart contract ปลอดภัย code deploy ไปแล้วไม่มีใครแก้ได้ ยุคนี้เขาเชื่อใน code กันพี่ code is law ครับ แหมมม เท่จริงๆ 555+ นี่มันยุคทองของคนทำงานสาย IT โดยแท้เลย โชคดีที่ผมก็ทำงานสายนี้ 😀 ซึ่งที่น้องเขากล่าวมานั้นในทางเทคโนโลยีก็ถูกต้องครับ แต่ก็ต้องถามว่าแล้วได้อ่าน code นั้นหรือยังว่ามันทำงานอะไรบ้าง 555+ ซึ่งวันนี้ผมจะมา demo code ที่ hacker หรือ malicious dev แอบฝั่ง backdoor ไว้ในโครงการของตัวเอง เพื่อแก้เงื่อนไขหรือรัน functions หรือ contracts ใดๆก็ได้ โดยที่ไม่ต้องแก้ไข code ซึ่ง code ที่เราเห็น ที่เราเข้าใจกับ code ที่มันทำงานจริง มันอาจจะไม่เหมือนกัน แน่นอนว่า hacker ต้องพยายามซ่อน malicious code ให้เนียนที่สุดอยู่แล้ว ในตัวอย่างนี้ ผมจะเปลี่ยนเงื่อนไข code ในรูปจาก true เป็น false หรือในภาษาคนคือ จากที่ code บอกว่าเหรียญ Chick Token นี้จะไม่สามารถเสกเพิ่มได้อีก ให้เป็นเสกเพิ่มได้ มาดูกันครับ
อ่านต่อ : https://mayaseven.com/defi-smart-contract-hacking-101-ep1-malicious-developer/

MAYASEVEN กำลังตามหา Penetration Tester พร้อมมีโจทย์คัดเลือกรอบแรกแนบมาด้วย ท่านใดสนใจ สามารถลองทำโจทย์และส่ง CV พร้อม flag มาที่ hr@mayaseven.com ได้เลยครับ 🙂 รายละเอียดตาม link

Challenge : NWE0ZTRjNGU0NjUyNDk1MjQxMjA0NzUyNGU1YTIwNTY0NjIwNTU1MjQ1NTI=

https://mayaseven.com/career/

https://th.jobsdb.com/th/th/job/penetration-tester-it-security-consultant-300003002344917

MAYASEVEN กำลังตามหา Cyber Security Researcher พร้อมมีโจทย์คัดเลือกรอบแรกแนบมาด้วย ท่านใดสนใจ สามารถลองทำโจทย์และส่ง CV พร้อม flag มาที่ hr@mayaseven.com ได้เลยครับ 🙂

Challenge : MzFDMDUwNjgzRjMxM0YyMzY4M0IzNDNCMkQ2ODFCMzY1NzIyNjgwNzU3MDMxRjY4MUYxMzU3MEQ2ODAyMDcxNjA3NjgwMTFBNTcxOTY4MDExMTU3MEU2ODU2NTY1NjE1NTQ1RThCRkU4QkQ3RkNCOTI0MDAwMDAwQkI3NzAwMDAwMDMxQzA1MEFDMzNDM0FBRTJGQTU0NUVDQw==

https://mayaseven.com/career/

https://th.jobsdb.com/th/en/job/cyber-security-researcher-%E0%B8%99%E0%B8%B1%E0%B8%81%E0%B8%A7%E0%B8%B4%E0%B8%88%E0%B8%B1%E0%B8%A2%E0%B8%94%E0%B9%89%E0%B8%B2%E0%B8%99%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1%E0%B8%9B%E0%B8%A5%E0%B8%AD%E0%B8%94%E0%B8%A0%E0%B8%B1%E0%B8%A2%E0%B8%97%E0%B8%B2%E0%B8%87%E0%B9%84%E0%B8%8B%E0%B9%80%E0%B8%9A%E0%B8%AD%E0%B8%A3%E0%B9%8C-300003002334426