ระบบสัญญา (Contract) ใน Ethereum เปิดเผยให้ทุกคนสามารถมองเห็นสัญญาได้ว่าจะมีกระบวนการเป็นอย่างไร แต่การเปิดเผยกระบวนการดำเนินการเช่นนี้ไม่ได้แปลว่าสัญญาจะไม่มีช่องโหว่ เพราะสุดท้ายสัญญาเหล่านี้เป็นเพียงโค้ดที่มีโปรแกรมเมอร์เขียนขึ้นมา ล่าสุดสัญญา DAO ระบบระดมทุนเพื่อการโหวตสนับสนุนโครงการต่างๆ ได้รับเงินทุนมูลค่าถึง 150 ล้านดอลลาร์ กลับถูกแฮกออกไปอย่างรวดเร็วถึง 50 ล้านดอลลาร์ในวันเดียว สู่บัญชี TheDarkDAO
มีการแจ้งเตือนมาหลายวันก่อนหน้านี้ว่าโค้ดในสัญญาสำคัญๆ จำนวนมากมีความผิดพลาด รวมถึง DAO เอง แต่ทาง Slock.it ผู้พัฒนา DAO ระบุว่าช่องโหว่ไม่มีผลกระทบกับตัวกองทุนเอง แต่มีผลเฉพาะการยกเลิกการจ่ายเงินกองทุนเท่านั้น เมื่อแฮกเกอร์สามารถหาช่องทางในการสั่งจ่ายเงินออกไปได้อย่างต่อเนื่อง จึงสั่งจ่ายเงินถึง 3.6 ล้าน ETH เข้าบัญชีตัวเอง
ผู้ที่อ้างตัวว่าเป็นแฮกเกอร์ในครั้งนี้ให้สัมภาษณ์กับ CryptoCoin เขาระบุว่าตัวเขาเองไม่ใช่แฮกเกอร์ และการโอนเงินออกครั้งนี้เป็นการทำงานเป็นทีม พวกเขาหยุดที่ 3.6 ล้าน ETH เพราะตลาด Ethereum ยังไม่ใหญ่พอที่จะใช้เงินมากกว่านี้
ทาง Ethereum ออกมาแถลงถึงเรื่องนี้ ระบุว่าเงิน 3.6 ล้าน ETH นี้จะไม่สามารถออกสู่ตลาดไปอีก 27 วันตามกำหนดของโค้ด DAO เอง ระหว่างนี้ผู้ขุด Ethereum และตลาดรับแลกสามารถดำเนินการต่อไปได้ ส่วนผู้ลงทุนใน DAO ควรใจเย็นและรอการหาทางต่อไป ส่วนโปรแกรมเมอร์ผู้สร้างสัญญาควรระวังบั๊ก recursive call ที่แฮกเกอร์ใช้โจมตีครั้งนี้ และหลีกเลี่ยงการสร้างสัญญาที่มีมูลค่าเกินกว่า 10 ล้านดอลลาร์
ที่มา: blog.ethereum
You must be logged in to post a comment.