حمله “بازدخولی”، این بار در پلتفرم Earning Farm آوی
پلتفرم کشت سود آوی (Aave) معروف به Earning Farm به تازگی مورد یک حمله بازدخولی قرار گرفته و حداقل 287000 دلار اتر (ETH) از دست داده است
به گزارش واحد ترجمه ایران دکونومی، شرکت امنیت بلاکچین پکشیلد (PeckShield) روز نهم آگوست از وجود آسیبپذیری جدیدی خبر داد که پروژههای امور مالی غیرمتمرکز (DeFi) را هدف قرار میدهد. به گفته این شرکت، پلتفرم کشت سود آوی (Aave) معروف به Earning Farm مورد یک حمله بازدخولی قرار گرفته است که منجر به سرقت حداقل 287,000 دلار اتر (ETH) شده است.
مکانیسم عمل در حملههای بازدخولی (reentrancy attack) مانند این است که شما یک دستگاه خودپرداز را فریب دهید تا چندین بار به شما پول بدهد، قبل از اینکه متوجه شود پولی برای شما باقی نمانده است. این امر با ورود و خروج مخفیانه یک درخواست پول اتفاق میافتد و سیستم را فریب میدهد تا پول بیشتری نسبت به آنچه واقعاً در دسترس است، به مهاجم تحویل بدهد. در کامپیوترها نیز به همین ترتیب، مهاجمان از این ترفند سوء استفاده میکنند تا بتوانند با فراخوانی توابعی که قبل از تکمیل اولین فراخوانی، به طور مکرر با قراردادها تعامل برقرار میکنند، به منابع بیشتری نسبت به آنچه که باید باشد، دسترسی پیدا کنند.
مشخص نیست که آیا این حمله به اکسپلویت اخیر استخرهای کرو فایننس (Curve Finance) مربوط میشود یا خیر. قبلاً در گزارشها خواندید که استخرهای پایدار این پروتکل دیفای نیز روز 30 جولای (8 مرداد) هدف حملات بازدخولی قرار گرفت و بیش از 61 میلیون دلار از دست داد. این حمله هکری به دلیل وجود یک آسیبپذیری در سه نسخه از زبان برنامهنویسی وایپر (Vyper) رخ داد که یک زبان قرارداد مشترک است که به طور گسترده توسط توسعهدهندگان در پروتکلهای دیفای استفاده میشود.
پلتفرم Earning Farm به گونهای طراحی شده است که یک پروتکل کاربرپسند برای اتر، رپد بیت کوین (wBTC) و یواسدی کوین (USDC) باشد. طبق آنچه در وبسایت رسمی این پلتفرم عنوان شده است، شرکت امنیتی Slowmist قراردادهای بلاکچین آن را حسابرسی کرده است.
البته این اولین باری نیست که این پروتکل مورد حمله قرار میگیرد. در اکتبر سال 2022 (مهر 1401)، Earning Farm از طریق حملات وام فلش، دو هک مخرب در EFLeverVault خود را تجربه کرد و 750 واحد اتر (ETH ) را از دست داد. در حملات وام فلش، هکر مقدار زیادی ارز دیجیتال را در یک تراکنش وام دریافت کرده و پس از دستکاری ارزش آن از طریق تراکنشهای مختلف، طی یک تراکنش، کل وام را بازپرداخت میکند. این حملات از ناهماهنگی به وجود آمده در قیمتها و عدم تعادل موقت در سیستم برای کسب سود بهره میگیرند.
سلب مسئولیت: تلاش ایران دکونومی مبتنی بر ارائه محتوای مفید صرفاً جهت افزایش آگاهی مخاطب است و توصیه مالی محسوب نمیگردد.
منبع: cointelegraph