از ۴۵ تا ۶۱۰ میلیون دلار؛ ده حمله هکری بزرگ رمزارزها در سال ۲۰۲۱

به گزارش آوای خزر، با بررسی گزارشات ارائه شده متوجه یک مسئله می‌شویم، آن هم افزایش خیره‌کننده بیش از ۱۳۰۰ درصدی حمله هکری رمزارز نسبت به سال گذشته است. در سال ۲۰۲۰ یکی از بزرگترین حملات تا آن زمان مربوط به ضرر ۳۴ میلیون دلاری Harvest Finance در یک حمله «وام‌سریع» بود که در مقابل حملات هکری سال ۲۰۲۱ اصلا به چشم نمی‌آید.

در ادامه به بررسی ۱۰ مورد از بزرگترین حملات هکری در فضای ارزهای دیجیتال خواهیم پرداخت، از جمله بزرگترین حمله امنیتی DeFi با رقم بیش از ۶۰۰ میلیون دلار که به طرز شگفت‌انگیزی، برای همه طرف‌های درگیر سرانجام خوشی داشت! در این مقاله با دیجی‌کالا مگ همراه باشید که با هم به بررسی این حملات بپردازیم.

شماره ۱۰: PANCAKEBUNNY / سرمایه از دست رفته ۴۵ میلیون دلار

در روز ۱۹ می ۲۰۲۱، PancakeBunny، یکی از پروتکل‌های دیفای زنجیره هوشمند بایننس و پالیگان، قربانی یک حمله وام‌سریع شد. هکر از پنکیک‌سواپ استفاده کرده بود تا مقدار زیادی BNB وام بگیرد. سپس به دستکاری قیمت USDT/BNB و BUNNY/BNB پرداخت و در پایان، هکر که از طریق وام‌سریع مقدار بسیار زیادی توکن BUNNY بدست آورد، تمام توکن‌های BUNNY خود را در بازار فروخت و منجر به کاهش قیمت آن شد. در نهایت هکر BNBهایی که وام گرفته بود را از طریق پنکیک‌سواپ برگرداند. این حمله منجر به از دست رفتن دارایی بزرگی به ارزش ۴۵ میلیون دلار شد.

شماره ۹: URANIUM FINANCE / سرمایه از دست رفته ۵۰ میلیون دلار

Uranium Finance یک صرافی غیرمتمرکز (DEX) در زنجیره هوشمند بایننس (BSC) است. در اواخر آوریل ۲۰۲۱، این پلتفرم در طول فرآیند بروزرسانی خود ۵۰ میلیون دلار سرمایه از دست داد. در این حمله ابتدا توکن‌های DOT و ADA از طریق صرافی غیرمتمرکز پنکیک سواپ به اتر و سپس اتر زنجیره هوشمند بایننس توسط پروتکل AnySwap به ETH شبکه اتریوم تبدیل شد.

تمام ۸۰ بیت‌کوین هم از همین طریق برداشت شده است. این احتمال وجود دارد که حمله صورت گرفته از طرف یکی از اعضای تیم باشد، زیرا قبل از انجام به‌روزرسانی و انتقال به نسخه دوم پروتکل Uranium Finance، فرآیند هک کلاه سفید (تست نفوذ توسط متخصصین امنیتی) انجام نشده بود.

با توجه ادعاهای عنوان شده در مورد ماهیت داخلی هک، پس از این حمله Uranium یک طرح کلی از حمله انجام شده را در صفحه Medium خود منتشر کرد. علیرغم درخواست از تیم امنیتی BSC برای کمک به شناسایی مهاجم یا جلوگیری از خروج وجوه از زنجیره، مقدار دارایی سرقت شده از آن زمان تاکنون بازیابی نشده است.

شماره ۸: BELT FINANCE / سرمایه از دست رفته ۵۰ میلیون دلار

درست یک ماه پس از حمله به Uranium Finance، یکی دیگر از DEX های مستقر در زنجیره هوشمند بایننس که Belt Finance نام دارد نیز مورد حمله قرار گرفت که منجر به ضرر ۵۰ میلیون دلاری شد. این اتفاق در نتیجه یک حمله وام‌سریع رخ داد.

مهاجم از پلتفرم PancakeSwap برای دستکاری وام‌های‌سریع استفاده کرد. بیشترین آسیب به استخر BeltBUSD وارد شد و هکر علاوه بر ضرر کلی ۵۰ میلیون دلاری مبلغ ۶.۲ میلیون دلار نیز به سرقت برد. مانند حمله به Uranium Finance، هکر ناشناس باقی مانده و وجوه دزدیده شده بازگردانی نشده است.

شماره ۷: BZX / سرمایه از دست رفته ۵۵ میلیون دلار

bZx، یک پروتکل غیرمتمرکز معاملات مارجین در شبکه‌های BSC و Polygon است که در سال ۲۰۲۰ سه حمله مخرب را تجربه کرده بود. bZx تا نوامبر ۲۰۲۱ بدون هیچ مشکل امنیتی مهمی کار می‌کرد ولی در ۵ نوامبر، این پروتکل زمانی که کلید خصوصی آن به دست سارق افتاد هک شد و مهاجم ۵۵ میلیون دلار را سرقت کرد. در این حمله هر دو شبکه Polygon و bZx تحت تاثیر هک قرار گرفتند.

معاملات مارجین (Margin Trading) روشی برای معامله دارایی‌ها با استفاده از سرمایه ارائه شده توسط شخصی ثالث (صرافی) است. در مقایسه با حساب‌های معاملات نقدی یا اسپات، حساب‌های مارجین به معامله‌گران اجازه می‌دهد تا به مبالغ بیشتری از سرمایه دسترسی داشته باشند و تا بتوانند از آن‌ها به عنوان اهرم برای باز کردن موقعیت‌های معاملاتی (شورت یا لانگ) خود استفاده کنند. اساسا، معاملات مارجین نتایج معاملات را تقویت می‌کنند تا معامله‌گران بتوانند در معاملات موفق خود به سودهای بیشتری دست یابند البته باید خاطر نشان کرد در صورت ضرر هم ضررها از نوع بسیار سنگین یا از بین رفتن دارایی (لیکویید شدن) خواهد بود.

سه روز پس از حمله، bZx اعلام کرد که با صرافی‌های ارزهای دیجیتال برای بازیابی وجوه دزدیده شده همکاری می‌کند ولی این تلاش‌ها تاکنون هیچ نتیجه‌ای برای مالباختگان نداشته است. در همین حال، در اخبار جدیدتر، bZx و Ooki که پروتکل دیگری برای معاملات مارجین است، ظاهراً با هم ادغام شده‌اند و توکن BZRX bZx به پلتفرم Ooki منتقل شده است. این حرکت احتمالاً پایان bZx به عنوان یک پروتکل مستقل خواهد بود.

شماره ۶: EASYFI / سرمایه از دست رفته ۵۹ میلیون دلار

EasyFi، یک پروتکل وام‌دهی مالتی‌چین (چند زنجیره‌ای) لایه ۲ است که در آوریل ۲۰۲۱ با لو رفتن کلید خصوصی کیف پول متامسک خود که توسط مدیر عامل پلتفرم، Ankitt Gaur اداره می‌شد، حدود ۸۰ میلیون دلار از دست داد. هکر وجوه را از کیف پول رسمی  EasyFi به سرقت برد و زیان آن شامل حدود ۶ میلیون دلار از استخرهای استیبل‌کوین روی این پلتفرم و ۵۳ میلیون دلار در توکن‌های بومی آن یعنی EASY بود.

چهار روز پس از این حادثه،  EasyFi توکن EASY را از دور خارج کرد و توکن جدید EZ را برای جایگزینی آن به عنوان بخشی از هارد‌فورک پلتفرم معرفی کرد. هک استخرهای EasyFi شبکه‌های پالیگان، زنجیره هوشمند بایننس و اتریوم را تحت تاثیر قرار داد. مشابه هک‌های ذکر شده در بالا، مهاجم این سرقت نیز شناسایی نشد.

شماره ۵: BADGERDAO / سرمایه از دست رفته ۱۲۰ میلیون دلار

Badger، یک پروتکل وام‌دهی است که روی شبکه اتریوم قرار دارد و از بیت‌کوین به عنوان وثیقه استفاده می‌کند. این پلتفرم در اوایل دسامبر ۲۰۲۱ به دلیل حمله‌ای که رابط کاربری آن را هدف قرار داد، ۱۲۰ میلیون دلار از دست داد. این حمله سرمایه ده‌ها کاربر را تحت تأثیر قرار داد و بعید به نظر می‌رسد که این دارایی‌ها به کاربران بازگردانده شوند.

Badger دارای یک بیمه نامه از شرکت بیمه‌ای Nexus Mutual است که برخی از هک‌های احتمالی را پوشش می‌دهد، با این حال، این بیمه نامه فقط هک‌های مربوط به قرارداد هوشمند را پوشش می‌دهد، نه نقض رابط کاربری. Nexus Mutual عنوان کرده است که این حمله در دسته‌ی حمله‌های “front-end” طبقه بندی می‌شود و بنابراین هیچ غرامتی به قربانیان پرداخت نخواهد شد.

شماره ۴:  PAID NETWORK / سرمایه از دست رفته ۱۲۷ میلیون دلار

پلتفرم Paid Network، یک برنامه غیرمتمرکز (DApp) در اتریوم است که خدمات توافق‌نامه‌های مبتنی بر قرارداد هوشمند را برای کسب‌وکارها ارائه می‌کند. این پروژه با استفاده از یک کلید خصوصی که سرقت شده بود هک شد.

مهاجم با استفاده از این کلید، قرارداد هوشمند اصلی روی پلتفرم را با نسخه اصلاح شده جایگزین کرد و توانست توکن‌های پولی موجود را بسوزاند و مقدار زیادی از توکن‌های جدید را ایجاد کند. برخی از توکن‌های تازه ایجاد شده قبل از شناسایی در یونی‌سواپ به ETH تبدیل شدند.

شماره ۳:  CREAM FINANCE / سرمایه از دست رفته ۱۳۰ میلیون دلار

در اواخر اکتبر، Cream Finance، یک پروتکل وام دهی مالتی‌چین، با حمله وام‌سریع مواجه شد که حدود ۱۳۰ میلیون دلار از استخرهای نقدینگی مبتنی بر اتریوم آن به سرقت رفت. گزارشی مبنی بر اینکه آیا وجوه نگهداری شده در زنجیره‌های دیگر مانند BSC، فانتوم، پالیگان و آوالانچ تحت تاثیر قرار گرفته است یا خیر منتشر نشده است.

با این حال، با توجه به اینکه در بیانیه رسمی این پلتفرم فقط به استخرهای اتریوم اشاره شده است، این احتمال وجود دارد که این حمله فقط استخرهایی را هدف قرار داده باشد که در بزرگترین زنجیره دیفای جهان نگهداری می‌شوند. این سومین هک مربوط به Cream Finance در سال جاری بود، زیرا تنها دو ماه قبل از هک ۱۳۰ میلیون دلاری، این پلتفرم هک شد و دارایی به ارزش ۱۹ میلیون دلاری به سرقت رفت که آن حمله نیز از نوع حمله وام‌سریع بود.

شماره ۲:  COMPOUND FINANCE / سرمایه از دست رفته ۱۴۷ میلیون دلار

پلتفرم Compound Finance، یک پروتکل وام‌دهی و استقراض مبتنی بر اتریوم و یکی از بزرگترین پروژه‌های دیفای است که ارزش دارایی قفل شده (TVL) آن در زمان نگارش این مقاله بیش از ۷ میلیارد دلار است. در ۳۰ سپتامبر ۲۰۲۱، این پروتکل به اشتباه مبالغ هنگفتی را بصورت COMP ارز دیجیتال بومی خود به برخی از کاربرانی پرداخت کرد که تنها سطوح ناچیزی وثیقه بصورت ETH، USDC، و DAI ارائه کرده بودند. عنوان کردن اینکه نقص در قرارداد هوشمند باعث از دست رفت دارایی به ارزش ۱۴۷ میلیون دلار شده است برای بسیاری از متخصصین و کاربران مشکوک به نظر رسید.

هنوز مشخص نیست که آیا توزیع اشتباه توکن‌های COMP یک حمله برنامه‌ریزی شده بوده یا یک اشتباه توسط توسعه‌دهندگان پروتکل. با این حال، رابرت لشنر، مدیرعامل Compound Finance، به روشی دیگر برای بازگرداندن دارایی کاربران متوسل شد. چند ساعت پس از حادثه، او یک توییت ارسال کرد و از دریافت‌کنندگان وجوه خواست تا دارایی‌های سرقت شده را برگردانند. لشنر ۱۰ درصد از مبالغ را به عنوان پاداش برای بازگشت وعده داد و در همان توییت تهدید کرد که در صورت عدم همکاری تمام کیف‌پول‌هایی که دارایی‌های سرقت رفته در آن نگهداری می‌شود را به IRS (سرویس درآمد داخلی ایالات متحده که مربوط به دولت فدرال است) گزارش خواهد کرد. دقیقاً مشخص نیست که چه مقدار از کل مبلغ از دست رفته به لطف تحرکات آنلاین لشنر بازیابی شده است، اما باید دید این پروژه در بیانیه‌های آینده‌ی خود در مورد آن چه می‌گوید.

شماره ۱:  POLY NETWORK / سرمایه از دست رفته ۶۱۰ میلیون دلار (بازگردانده شد)

بزرگترین هک صنعت دیفای تاکنون، در ۱۰ آگوست ۲۰۲۱ رخ داد و مربوط به یک ارائه دهنده سواپ بین شبکه‌ای به نام Poly Network بود. مهاجم یک قرارداد هوشمند را در این پلتفرم هک کرد و در مجموع ۶۱۰ میلیون دلار به آدرس‌های خود در اتریوم و زنجیره هوشمند بایننس خود منتقل کرد.

پول از هر سه شبکه مورد استفاده توسط Poly Network یعنی اتریوم، زنجیره هوشمند بایننس و پالیگان به سرقت رفت. ضرر وارده از شبکه اتریوم ۲۷۳، زنجیره هوشمند بایننس ۲۵۳ و پالی‌گان ۸۵ میلیون دلار گزارش شده است. Poly Network از هکر درخواست کرد تا وجوه را برگرداند. روز بعد از حادثه، در ۱۱ آگوست، هکر حدود ۲۶۰ میلیون دلار را بازگرداند و در ۱۲ آگوست، هکر در یک گفتگوی آنلاین با Poly Network شرکت کرد و خود را به عنوان “آقای کلاه سفید” معرفی کرد. یک روز بعد، این شخص به پلتفرم اطمینان داد که تمام وجوه باقیمانده را برمی‌گرداند و عنوان کرد که اقدامات او به دلیل نشان دادن آسیب‌پذیری پلتفرم‌های رمزنگاری است.

تا ۲۳ آگوست، آقای کلاه سفید تمام وجوه هک شده را بازگرداند. اما این پایان ماجرا نبود و در جریان گفتگوی آنلاین Poly Network، به هکر ۵۰۰.۰۰۰ دلار پاداش همراه با مشارکت با این پلتفرم با عنوان مشاور امنیتی ارشد (CSA) پیشنهاد شد که هر دو توسط بزرگترین هکر تاریخ دیفای رد شد.

بررسی‌های آماری بزرگ‌ترین حملات هکری DeFi در سال ۲۰۲۱

مبلغ ۱۰ هک برتر دیفای در سال بالغ بر ۱.۵ میلیارد دلار برآورد شده است. این رقم شامل وجوهی که به پلتفرم بازگردانده شده مانند هک Poly Network هم می‌شود.

همانطور که در تصویر پایین مشاهده می‌کنید در سال ۲۰۲۰ شاهد ۱۶ هک دیفای بودیم. اما در سال ۲۰۲۱، این حملات به ۵۵ مورد رسیده است.

میانگین میزان دارایی از دست رفته در هر حمله در سال ۲۰۲۱ نیز نسبت به رقم سال ۲۰۲۰ به میزان قابل توجهی افزایش یافته است. در حالی که در سال ۲۰۲۰، یک هک دیفای به طور متوسط ​​منجر به ضرر ۸.۳ میلیون دلاری شده است، رقم مربوطه برای سال ۲۰۲۱ نزدیک به ۳۶ میلیون دلار است.

در سال ۲۰۲۱ شاهد افزایش گسترده هک‌های دیفای در مقایسه با سال ۲۰۲۰ بودیم. در این سال، بزرگترین هک دیفای که تاکنون ثبت شده اتفاق افتاد که خوشبختانه این وجوه برگردانده شده است. با این حال، متأسفانه سایر هک و سرقت‌های انجام شده، هکرهای مهربانی نداشتند و وجوه بازیابی نشدند. همه این موارد یادآوری برای هر کاربر، توسعه‌دهنده یا اپراتور دیفای است که مجرمان سایبری رمزارز همیشه به دنبال آسیب‌پذیری‌های پلتفرم و ابزارهای دیفای برای سوء استفاده از آن‌ها هستند./ halborn

انتهای پیام/1005