การเอารัดเอาเปรียบ Aztec Connect แสดงให้เห็นว่าเหตุใดสัญญา DeFi เก่าจึงยังคงเป็นอันตราย

สัญญา Aztec Connect เก่าได้นำความเสี่ยง DeFi ที่คุ้นเคยกลับมาเป็นที่สนใจอีกครั้ง: โครงสร้างพื้นฐานที่ถูกทิ้งร้างไม่ได้หยุดเป็นอันตรายเพียงเพราะผลิตภัณฑ์ไม่ได้ใช้งานอีกต่อไป

TL;DR

• สัญญา Aztec Connect ที่ถูกยกเลิกการใช้งานถูกรายงานว่าถูกโจมตีมูลค่าประมาณ 2.1 ล้านดอลลาร์
• ปัญหานี้เน้นให้เห็นปัญหา DeFi ที่ยังคงอยู่: สัญญาเก่าสามารถยังคงใช้งานได้แม้หลังจากผลิตภัณฑ์ปิดตัวลง
• บทเรียนที่ใหญ่กว่านั้นคือ การปิดตัวต้องการการจัดการความเสี่ยงเชิงรุก ไม่ใช่เพียงแค่ข้อความบอกให้ผู้ใช้ออกไป

ปัญหาของคำว่า "Deprecated"

โพสต์ของนักวิจัยด้านความปลอดภัยได้เปิดเผยการโจมตีที่อาจเกิดขึ้นกับ Aztec Connect โดยมีรายงานว่ามีการโอนเงินประมาณ 2.1 ล้านดอลลาร์จากสมาร์ทคอนแทรคที่ไม่สามารถเปลี่ยนแปลงได้ รายละเอียดยังต้องได้รับการจัดการอย่างรอบคอบ เนื่องจากแหล่งข้อมูลแรกเป็นการเปิดเผยของนักวิจัยแทนที่จะเป็นรายงานหลังเหตุการณ์ฉบับสมบูรณ์ แต่ปัญหาโดยรวมนั้นชัดเจนพอแล้ว: สัญญา DeFi เก่าสามารถยังคงทำงานอยู่ มีเงินทุน และถูกโจมตีได้นานหลังจากที่ผู้ใช้ส่วนใหญ่หยุดคิดถึงมัน

ในซอฟต์แวร์ปกติ ผลิตภัณฑ์ที่ถูกยกเลิกมักจะค่อยๆ หายไป ผู้ใช้หยุดดาวน์โหลด บริษัทหยุดสนับสนุน และในที่สุดก็หายไปในพื้นหลัง

DeFi ไม่ได้ทำงานแบบนั้น สมาร์ทคอนแทรคสามารถอยู่บนเชนได้อย่างไม่มีกำหนด หากมีเงินทุนหรือมีเส้นทางใดๆ ไปยังเงินทุน ก็ยังสามารถถูกโจมตีได้ ส่วนหน้าอาจหายไปแล้ว ทีมอาจย้ายไปแล้ว เอกสารอาจบอกให้ผู้ใช้ถอนเงิน แต่ไม่มีสิ่งใดเหล่านั้นสำคัญสำหรับผู้โจมตีที่มองที่ตัวสัญญาเอง

Immutability มีสองด้าน

กรณี Aztec Connect น่าอึดอัดเป็นพิเศษเพราะสัญญาถูกอธิบายว่าไม่สามารถเปลี่ยนแปลงได้ ใน DeFi ความไม่สามารถเปลี่ยนแปลงได้มักถูกมองว่าเป็นคุณสมบัติ หมายความว่าผู้ใช้ไม่ต้องไว้วางใจทีมเพื่อหลีกเลี่ยงการเปลี่ยนกฎในภายหลัง

แต่ความไม่สามารถเปลี่ยนแปลงได้ยังลบตัวเลือกฉุกเฉินออกด้วย

หากสัญญาที่ใช้งานอยู่มีปัญหาและไม่มีการควบคุมของผู้ดูแลระบบเหลืออยู่ ทีมอาจไม่สามารถหยุดชั่วคราว อัปเกรด หรือแก้ไขได้ นั่นอาจทำให้ผู้ใช้ต้องพึ่งพาว่าเงินทุนถูกถอนออกไปแล้วหรือไม่ และมูลค่าที่เหลืออยู่สามารถป้องกันได้ด้วยวิธีอื่นหรือไม่

นี่คือการแลกเปลี่ยนที่ DeFi ยังคงต้องต่อสู้ด้วย การอัปเกรดได้สร้างความเสี่ยงด้านความไว้วางใจและการกำกับดูแล ความไม่สามารถเปลี่ยนแปลงได้สร้างความเสี่ยงในการตอบสนอง

สัญญาเก่าต้องการแผนการปิดตัวที่แท้จริง

บทเรียนที่นี่ไม่ใช่แค่ "สัญญาเก่าไม่ดี" บทเรียนคือการปิดตัวต้องได้รับการปฏิบัติเหมือนเหตุการณ์ด้านความปลอดภัย

การปิดตัวอย่างรับผิดชอบควรรวมถึงการเตือนผู้ใช้ซ้ำๆ กำหนดเส้นตายการถอนเงินเมื่อเป็นไปได้ การติดตามหลังการปิดตัว เอกสารที่ชัดเจน และการสื่อสารความเสี่ยงต่อสาธารณะ หากมีเงินทุนจำนวนมากเหลืออยู่ในสัญญาเก่า ทีมต้องสันนิษฐานว่าผู้โจมตียังคงเฝ้าดูอยู่

นั่นเป็นความจริงโดยเฉพาะสำหรับระบบความเป็นส่วนตัว บริดจ์ โรลอัพ และข้ามเชน ที่ตรรกะสัญญาอาจซับซ้อนกว่าและโหมดความล้มเหลวไม่ชัดเจนสำหรับผู้ใช้ทั่วไป

สิ่งที่ผู้ใช้สามารถเรียนรู้จากเรื่องนี้

สำหรับผู้ใช้ กฎนั้นง่าย: อย่าทิ้งเงินทุนไว้ในสัญญาที่ถูกยกเลิกการใช้งานเว้นแต่จะมีเหตุผลที่ชัดเจนมาก

หากโปรโตคอลบอกให้ผู้ใช้ถอนเงิน ให้ถือเรื่องนั้นอย่างจริงจัง หากส่วนหน้าปิดตัวลง อย่าสันนิษฐานว่าความเสี่ยงสิ้นสุดลงแล้ว หากสัญญาเก่า ไม่ได้รับการตรวจสอบในสถานะปัจจุบัน หรือไม่ได้รับการติดตามอีกต่อไป อาจปลอดภัยกว่าที่จะปฏิบัติกับมันเหมือนโครงสร้างพื้นฐานที่เป็นอันตราย

เหตุการณ์ Aztec Connect เป็นอีกการเตือนใจว่าความเสี่ยง DeFi มีหางที่ยาว ผลิตภัณฑ์อาจหายไปจากการสนทนาในตลาดในขณะที่สัญญาของพวกเขายังคงอยู่บนเชน รอให้ใครบางคนค้นพบจุดอ่อนต่อไป

แหล่งที่มา

• การเปิดเผยของนักวิจัยด้านความปลอดภัย
• เว็บไซต์ทางการของ Aztec