سرقت ۴۷ میلیون دلاری از استخرهای کرو فایننس
چندین استخر در کرو فایننس (Curve Finance) که از زبان برنامهنویسی وایپر (Vyper) استفاده میکردند، دیروز در ۸ مرداد هک شدند. شایان ذکر است که نسخههای ۰.۲.۱۵، ۰.۲.۱۶ و ۰.۳.۰ وایپر در برابر خرابی قفلهای ورود مجدد آسیبپذیر هستند.
پادکست سرقت ۴۷ میلیون دلاری از استخرهای کرو فایننس
به گزارش صرافی ارز دیجیتال او ام پی فینکس و به نقل از کوین تلگراف، به نظر میرسد که این هک تاکنون ضرری بالغ بر ۴۷ میلیون دلار را به همراه داشتهاست. طبق گفته وایپر، نسخههای ۰.۲.۱۵، ۰.۲.۱۶ و ۰.۳.۰ آن در برابر خرابی قفلهای ورود مجدد آسیبپذیر هستند.
به دنبال این رخداد، وایپر با انتشار پستی در پلتفرم X نوشت: «تحقیقات درباره این هک در حال انجام است، اما ضروری است هر پروژهای که طبق این نسخهها فعالیت میکند هرچه سریعتر با تیم ما ارتباط برقرار کند.»
طبق بررسی اولیه، برخی از نسخههای کامپایلر وایپر محافظتهای مورد نیاز و ضروری را در زمان ورود مجدد به درستی پیادهسازی نمیکنند، محافظتهایی که با قفل کردن یک قرارداد، مانع از اجرای همزمان چندین عملکرد میشود. این اختلال زمینه مناسب را برای حملات بازگشت مجدد فراهم میکند؛ موضوعی که به طور بالقوه میتواند تمام سرمایههای موجود در قراردادها را تخلیه کند.
دسترسی سریع: خرید تتر
همانطور که میدانید، وایپر یک زبان برنامهنویسی قراردادگرا و پایتونیک است که ماشین مجازی اتریوم (EVM) را هدف قرار میدهد. شباهتهای وایپر به پایتون، این زبان را به یکی از نقاط شروع توسعهدهندگان پایتون و راهی برای ورود آنان به دنیای Web3 تبدیل کردهاست.
در این هک، تعدادی از پروژههای مالی غیرمتمرکز تحت تاثیر قرار گرفتند. صرافی غیرمتمرکز Ellipsis گزارش داد که تعدادی از استخرهای BNB چین که از کامپایلر قدیمی وایپر استفاده میکردند نیز تحت تاثیر این سرقت قرار گرفتهاند. افزون بر آن، پلتفرم آلکمیکس نزدیک به ۱۳.۶ میلیون دلار سرمایه خود را از دست داد. همچنین، «مایکل ایگوروف» مدیرعامل کرو فایننس نیز اعلام کرد که هکرها ۳۲ میلیون توکن CRV به ارزش ۲۲ میلیون دلار را از یک استخر مبادله در این پلتفرم به سرقت بردهاند.
این اکسپلویت باعث ایجاد وحشت در سراسر اکوسیستم دیفای شد و موجی از تراکنشها در استخرها را ایجاد کرد. دادههای کوین مارکت کپ نشان میدهد که رمزارز CRV در واکنش به این خبر بیش از ۵ درصد کاهش یافتهاست. البته نقدینگی CRV در ماههای اخیر به میزان قابل توجهی کاهش یافتهاست؛ موضوعی که آن را در برابر نوسانات شدید قیمت آسیبپذیر کردهاست. طبق گفته کرو فایننس، قراردادهای crvUSD و استخرهای مرتبط با آن تحتتاثیر این حمله قرار نگرفتهاند.
شایان ذکر است، کرو فایننس یک پروتکل دیفای محسوب میشود که امکان تبادل غیرمتمرکز استیبل کوینها را در اتریوم فراهم میکند. این پروتکل به دلیل برخی از نقصهای موجود در اکوسیستم آن هدف حمله هکرها قرار گرفت. مدتی پیش هم پروتکل دیفای کانیک فایننس (Conic Finance) اعلام کرد که در معرض یک سوءاستفاده قرار گرفته و مهاجم بیش از ۱۷۰۰ اتریوم به ارزش ۳.۶ میلیون دلار را از یکی از Omnipoolهای این پروتکل به سرقت بردهاست. کانیک فایننس یک پلتفرم متعادل کننده نقدینگی برای پروتکل مالی غیرمتمرکز کرو (Curve) به شمار میرود. دلیل اصلی این حمله، دستکاری قیمت ناشی از ورود مجدد بود. ورود مجدد یک نقص رایج است که به مهاجمان اجازه میدهد تا از قراردادهای هوشمند سوءاستفاده کنند.