مهاجمان 24 میلیون دلار از چندین پروژه DeFi در Curve Pool سرقت کردند

Attackers Steal $24 Million From Several DeFi Projects in Curve Pool Exploits

1402-05-09
2 سال ها پیش

اخبار رمزارزها

مهاجمان 24 میلیون دلار از چندین پروژه DeFi در Curve Pool سرقت کردند

مشروح:

چند پروتکل مالی غیرمتمرکز روز یکشنبه توسط مهاجمانی که بیش از 24 میلیون دلار ارز رمزنگاری شده را به سرقت بردند، مورد حمله قرار گرفت. مهاجمان از یک آسیب پذیری در استخرهای نقدینگی در Curve، پلتفرم سازنده بازار خودکار استفاده کردند.

بر اساس گزارش Curve در توییتر، این آسیب‌پذیری به Vyper، یک زبان برنامه‌نویسی جایگزین و شخص ثالث برای قراردادهای هوشمند اتریوم بازمی‌گردد. Curve گفت دیگر استخرهای نقدینگی که از این زبان استفاده نمی کنند خوب هستند.

استخرهای نقدینگی قراردادهای هوشمندی هستند که توکن‌ها را در خود نگه می‌دارند و می‌توانند نقدینگی را به بازارهای رمزنگاری به گونه‌ای که به واسطه‌های مالی متکی نیست، ارائه دهند. اما، همانطور که چندین پروژه در روز یکشنبه آموختند، یک نقص کوچک می تواند زیان های قابل توجهی را به همراه داشته باشد.

به گفته شرکت امنیت مالی غیرمتمرکز Decurity،

11 میلیون دلار ارز دیجیتال از پروتکل وام دهی NFT JPEG'd به سرقت رفته است. JPEG’d جزو اولین کسانی بود که مشکلی را در Pool خود در Curve شناسایی کرد.

JPEG در توییتر گفت:

یک حمله انجام شد. "ما در لحظه ای که مطلع شدیم در حال بررسی این موضوع بوده ایم و [...] به نظر می رسد این موضوع به استخر Curve مربوط می شود."

JPEG'd به کاربران امکان می دهد NFT ها را به عنوان وثیقه برای وام ارسال کنند. از نظر دارایی‌های واریز شده به JPEG، این پروتکل دارای ارزش کل قفل شده (TVL) حدود 32 میلیون دلار است. JPEG گفت کد مسئول حفظ NFTها و وجوه خزانه داری تحت تأثیر قرار نگرفته است.

طبق داده‌های CoinGecko، JPEG توکن حاکمیتی پروتکل تا زمان نگارش ۲۳ درصد کاهش داشت. روز یکشنبه، این سکه با 0.000347 دلار به پایین ترین سطح تاریخ سقوط کرد.

در یک توییت که اکنون حذف شده است، Curve ابتدا این آسیب‌پذیری را به عنوان یک حمله «ورود مجدد» فقط خواندنی توصیف کرد که می‌توان از آن اجتناب کرد. یک حمله ورود مجدد زمانی اتفاق می‌افتد که یک قرارداد هوشمند با قرارداد دیگری تعامل داشته باشد، که به نوبه خود قبل از اجرای کامل، به اولین قرارداد باز می‌گردد.

آسیب‌پذیری‌های ورود مجدد به مهاجم این امکان را می‌دهد که تماس‌های متعدد را در یک تابع جمع کند و یک قرارداد هوشمند را برای محاسبه ترازهای نامناسب فریب دهد. یکی از برجسته ترین نمونه های آن هک 55 میلیون دلاری DAO 2016 در اتریوم بود.

در پاسخ به یک حساب توییتر که بعداً عبارت پاک شده را تکرار کرد، Curve گفت برداشت اولیه آن اشتباه بود.

«بله، نه فقط خواندنی»، Curve گفت: «هیچ تخلفی از طرف پروژه‌هایی که یکپارچه شده‌اند یا حتی کاربران vyper وجود ندارد.»

Meir Dolev، یکی از بنیانگذاران و CTO شرکت امنیت سایبری Cyvers، به

Decrypt< گفت:

حملات ورود مجدد یک عامل بسیار رایج برای مهاجمان به پروتکل‌های دزدی هستند. /span>

دولف گفت: «آنها کاملاً رایج هستند. "و می توان با طراحی و توسعه مناسب از آنها اجتناب کرد."

مشکل مختص JPEG نیست. او گفت که مدت زیادی پس از بهره برداری از پروتکل وام دهی NFT، Alchemix و Metronome DAO به ترتیب 13.6 و 1.6 میلیون دلار به روشی مشابه ضرر کردند.

Alchemix در توییتر تصدیق کرد که فعالانه در حال کار برای رفع مشکل استخر نقدینگی خود است. MetronomeDAO در توییتر گفت تحقیقاتش درباره آنچه اتفاق افتاده ادامه دارد و این حمله را "بخشی از مجموعه گسترده‌تری از سوء استفاده‌ها" توصیف کرد.

Dolev گفت: در مورد JPEG'd، مهاجم توسط یک ربات حداکثر قابل استخراج (MEV) هدایت می شد. ربات تراکنش مهاجم احتمالی را شناسایی کرد و هزینه ای برای اجرای تراکنش مشابه قبل از آنها پرداخت کرد.

Vyper در توییتر گفت که این کامپایلر زبان برنامه‌نویسی بود که شکست خورده است. هنگامی که یک توسعه‌دهنده نوشتن کد را به پایان می‌رساند، سپس از یک قالب قابل خواندن توسط انسان به شکلی که رایانه‌ها می‌توانند اجرا کنند، کامپایل می‌شود.

دولف گفت:

این امر مانع از کارکرد محافظ‌های ورود مجدد شد - حفاظت‌هایی که در کد پروژه گنجانده شده بود و باید در برابر حملات ورود مجدد محافظت کند.

دولف گفت: "کامپایلر، در برخی نسخه‌ها، نتوانست آن را به روش صحیح کامپایل کند." "اشکالات یا اشکالاتی دارد."

متن اصلی خبر : Decrypt Media•2 hours ago

#Business #تجارت

دسته بندی مطالب