سرقت بیش از ۳۷۰ هزار دلار از پروتکل وام‌دهی آوالانچ (Avalanche)

پروتکل وام دهی و استقراض ارزهای دیجیتال Nereus Finance که بر بستر بلاک چین آوالانچ توسعه داده شده شاهد یک هک از نوع حملات وام آنی (Flash Loan Attack) بوده است.
هک آوالانچ

نرئوس فایننس (Nereus Finance) یک پروتکل وام‌دهی مبتنی بر بلاک چین آوالانچ (Avalanche) است و اخیرا قربانی یک هک زیرکانه شده که به موجب آن هکر با سو استفاده از یک قرارداد هوشمند، مرتکب سرقت حدود ۳۷۱ هزار دلار در قالب توکن USDC شده است.

شرکت امنیت سایبری بلاک چین سرتیک (CertiK) یکی از اولین سازمان‌هایی بود که این سرقت را شناسایی کرد و نشان داد که این حمله در بستر استخرهای نقدینگی Nereus متعلق به صرافی غیرمتمرکز تریدر جو و بازارساز خودکار Curve Finance رخ داده است.

پلتفرم امنیتی CertiK همچنین اعلام کرد که خود پروتکل‌های اساسی درگیر در این حمله هکری نیز تحت تأثیر قرار گرفته‌اند، با این حال Curve Finance در ۷ سپتامبر از طریق توییتر به این اظهارات واکنش نشان داد و گفت:

شاید مفهوم اطلاعیه‌ پلتفرم Certik به خطر افتادن امنیت دارایی‌ها بوده و نه این‌که خود پلتفرم‌های درگیر، دچار نقص امنیتی هستند. به نظر می رسد که فقط پروتکل Nereus Finance و دارایی های آن تحت تأثیر این حمله قرار گرفته است.

در ۷ سپتامبر پروتکل Nereus Finance جزئیات پس از این حادثه را منتشر کرد و توضیح داد که یک سوء استفاده کننده توانسته با استفاده از یک قرارداد هوشمند سفارشی و به وسیله وام آنی (Flash Loan) ۵۱ میلیون دلاری شبکه آوالانچ، به دستکاری عمدی قیمت یک بلوک AVAX در استخر نقدینگی صرافی غیر متمرکز Trader Joe پرداخته و مبالغی را در قالب توکن USDC به سرقت برده است.

در نتیجه این حمله، هکر ناشناس توانست ۹۹۸,۰۰۰ توکن بومی نریوس (NXUSD) را در مقابل ۵۰۸,۰۰۰ دلار وثیقه ضرب کند. آن‌ها سپس این سرمایه را از طریق استخرهای نقدینگی مختلف با سایر دارایی‌های دیجیتال مبادله کردند و پس از بازگرداندن وام فوری، موفق شدند با سود خالص ۳۷۱،۴۰۶ دلاری از شبکه خارج شوند. این حادثه به ایجاد ۵۰۰ هزار دلار بدهی بد (Bad Dept) از توکن NXUSD در این پروتکل منجر شده است.

تیم Nereus می‌گوید که به سرعت این وضعیت را اصلاح کردند. آنها پس از مشورت با کارشناسان امنیتی، تهیه یک طرح کاهش ضرر و زیان و اطلاع رسانی به مجریان قانون، مارکت JPL که در آن این سو استفاده رخ داده بود را منحل و فعالیت آن را متوقف کردند.

به گفته نرئوس این سرقت ناشی از یک گام از دست رفته در محاسبه قیمت بوده است که منجر به ایجاد فرصتی برای سو استفاده از آن می‌شود. با این حال آن‌ها تأکید کردند که هیچ سرمایه‌ای از کاربران در معرض خطر نیست و توکن NXUSD همچنان از پشتوانه بسیار قوی بهره می‌برد. همچنین به گفته آن‌ها هیچ پروتکل وام‌دهی و استقراض دارایی‌های دیجیتالی نیز تحت تأثیر این سوءاستفاده قرار نگرفته است.

صرافی ارز دیجیتال پول نو

پلتفرم Nereus همچنین اطمینان داده است که رخ دادن اتفاق مشابه این حمله برای بار دوم امکان پذیر نخواهد بود، زیرا تیم آن‌ها روش های حسابرسی و امنیتی خود را اصلاح خواهند کرد تا اطمینان حاصل شود که این نوع رویدادها در آینده رخ نمی‌دهد. در بخشی از متن بیانیه‌ی آن‌ها آمده:

قطعا این حمله از نظر ما یک حادثه‌ی غیر قابل قبول تلقی می‌شود اما این‌که پروتکل‌ها با این نوع چالش‌ها رو به رو شوند امری غیر معمول نیست.

تا لحظه نگارش این مقاله تیم Nereus در تلاش برای شناسایی هکر و ردیابی وجوه به سرقت رفته است و ۲۰ درصد جایزه بی قید و شرط برای بازگشت وجوه مسروقه ارائه کرده است.

با وجود این سوءاستفاده اخیر از وام فلش و چندین رویداد قابل توجه دیگر در طول امسال، گزارش اسکای نت آلرت (Skynet Alerts Report) مربوط به ماه آگوست منتشر شده توسط پلتفرم امنیتی CertiK در ۲ سپتامبر، نشان می‌دهد که این نوع حملات کاهش قابل توجهی داشته است.

در مقایسه با ماه قبل، در آگوست شاهد کاهش ۹۵ درصدی حملات وام فوری (Flash Loan Attack) بوده‌ایم که تنها منجر به زیان ۷۴۵,۲۴۴ دلاری شده است. این مبلغ در مقایسه با سایر ماه‌های امسال در رتبه دوم کمترین وجوه مسروقه از این طریق در یک ماه می‌باشد. ماه فوریه همچنان با ۲۰۰,۰۰۰ دلار کمترین ضرر ثبت شده ناشی از سو استفاده از وام های فلش را به خود اختصاص داده است.

Subscribe
Notify of
guest
0 تمام دیدگاه‌ها
Inline Feedbacks
نمایش تمام دیدگاه‌ها
0
سوال دارید؟ همین حالا بپرسید...x