اکسپلویت استخرهای پایدار کرو فایننس و زیان 47 میلیون دلاری ناشی از آن
روز گذشته چندین استخر پایدار در شبکه بلاکچین کرو فایننس (Curve Finance) که از زبان برنامهنویسی وایپر (Vyper) استفاده میکنند، مورد حمله هکری قرار گرفت
به گزارش واحد ترجمه ایران دکونومی، روز گذشته چندین استخر پایدار در شبکه بلاکچین کرو فایننس (Curve Finance) که از زبان برنامهنویسی وایپر (Vyper) استفاده میکنند، مورد حمله هکری قرار گرفت و زیان ناشی از این حمله تا این لحظه، بالغ بر 24 میلیون دلار برآورد شده است. طبق اعلام وایپر (Vyper)، نسخههای 0.2.15، 0.2.16 و 0.3.0 آن در برابر خرابی قفلهای بازدخول (reentrancy locks) آسیبپذیر هستند.
وایپر در اکانت X (توییتر سابق) خود نوشت: “تحقیقات ما در حال انجام است، اما هر پروژهای که با اتکا بر این نسخهها ساخته شده است باید فوراً با ما تماس برقرار کند. براساس بررسیهای انجام گرفته توسط شرکت امنیتی Ancilia بر روی قراردادهای هک شده، 136 قرارداد از نسخه 0.2.15 وایپر با حفاظ حملات بازدخولی، 98 قرارداد از نسخه 0.2.16 و 226 قرارداد از نسخه 0.3.0 وایپر استفاده کردهاند.
«تعدادی از استخرهای پایدار کرو فایننس (alETH/msETH/pETH) استفاده کننده از نسخه 0.2.15 وایپر در نتیجه خرابی قفل بازدخولی، مورد حمله قرار گرفتهاند. ما در حال ارزیابی وضعیت هستیم و هرگونه پیشرفت در نتیجه تحقیقات را به اطلاع کاربران خواهیم رساند. سایر استخرها ایمن هستند.»
— CurveFinance ؛ 30 جولای 2023
طبق بررسیهای اولیه، برخی از نسخههای کامپایلر وایپر (Vyper) به درستی محافظ بازدخولی را پیادهسازی نمیکنند. این محافظ با قفل کردن یک قرارداد، مانع از اجرای همزمان چندین تابع میشود. حملات بازدخولی میتوانند به طور بالقوه تمام سرمایههای موجود در یک قرارداد را تخلیه کنند.
پیامدهای اکسپلویت شدن استخرهای شبکه کرو فایننس
طبق دادههای ارائه شده، تعدادی از پروژههای امور مالی غیرمتمرکز تحت تأثیر این حمله قرار گرفتند. صرافی غیرمتمرکز الیپسیس (Ellipsis) گزارش داده است که تعداد کمی از استخرهای پایدار بایننس کوین (BNB) استفاده کننده از یک کامپایلر قدیمی وایپر (Vyper) مورد حمله قرار گرفتهاند. استخر alETH-ETH پلتفرم آلکمیکس (Alchemix) نیز شاهد خروج 13.6 میلیون دلاری سرمایه بوده است و اکسپویت استخر pETH-ETH در JPEGd و استخر sETH-ETH در مترونوم به ترتیب، زیانی 11.4 میلیون دلاری و 1.6 میلیون دلاری گزارش کردهاند.
این اکسپلویت باعث ایجاد ترس و وحشت زیادی در سراسر اکوسیستم دیفای ( DeFi) شد و موجی از تراکنشها در استخرها و عملیات نجات از سوی هکرهای کلاه سفید را در پی داشت. دادههای وبسایت مرجع CoinMarketCap حاکی از آن است که توکن بومی بلاکچین کرو فایننس (Curve Finance) یعنی کرو دائو (CRV) در واکنش به این خبر تا این لحظه بیش از 13 درصد کاهش یافته است و اکنون با قیمت 0.64 دلار معامله میشود.
به گزارش کوین تلگراف، نقدینگی CRV در ماههای اخیر به طور قابل توجهی کاهش یافته و آن را در برابر نوسانات شدید قیمت آسیبپذیر کرده است. طبق اعلام این شبکه بلاکچین، قراردادهای crvUSD و کلیه استخرهای مربوط به آن تحت تأثیر این حمله قرار نگرفتهاند.
لازم به ذکر است که کرو فایننس یک پروتکل امور مالی غیر متمرکز (DeFi) است که تبادل غیرمتمرکز استیبل کوینها در شبکه اتریوم را امکانپذیر میکند. تاکنون مجموعهای از حوادث در این اکوسیستم، این پروتکل را هدف قرار داده است. همین چند روز پیش، در نتیجه اکسپلویت پلتفرم کونیک فایننس (Conic Finance) آن، 3.26 میلیون دلار اتر (ETH) از دست رفت و تقریباً کل مبلغ سرقت شده تنها در یک تراکنش به یک آدرس جدید اتریوم ارسال گردید.
سلب مسئولیت: تلاش ایران دکونومی مبتنی بر ارائه محتوای مفید صرفاً جهت افزایش آگاهی مخاطب است و توصیه مالی محسوب نمیگردد.
منبع: cointelegraph