سرقت ۱ میلیون دلاری از بلاکچین Base

طی یک حمله پیچیده و سازمان‌یافته، مهاجمین موفق شدند حدود ۱ میلیون دلار از قراردادهای وام‌دهی تایید نشده در شبکه بلاکچینی Base به سرقت ببرند. این حادثه که چندین ساعت به طول انجامید، توسط شرکت امنیتی Cyvers Alerts در تاریخ ۲۵ اکتبر از طریق یک پست در پلتفرم ایکس (X) گزارش شد.

این مهاجم از یک ضعف امنیتی در قراردادهای هوشمند مرتبط با Wrapped Ether (WETH) بهره‌برداری کرد و با دستکاری قیمت، توانست وجوهی کلان را به دست آورد و از شبکه خارج کند. این ماجرا بار دیگر نگرانی‌ها پیرامون امنیت شبکه‌های DeFi (امور مالی غیرمتمرکز) و قراردادهای تایید نشده را برجسته کرد.

نحوه انجام حمله؛ چطور یک مهاجم توانست قیمت را دستکاری کند؟

اولین تراکنش مشکوک مهاجم، نزدیک به ۹۹۳,۵۳۴ دلار را از این قراردادهای تایید نشده در شبکه Base خارج کرد. او بخش اعظم این وجوه را به شبکه اتریوم منتقل کرد و حدود ۲۰۲,۵۴۹ دلار را به سرویس متمرکز بر حریم خصوصی Tornado Cash واریز کرد. مهاجم در چندین مرحله از طریق همین ضعف امنیتی، در مجموع ۴۵۵,۱۲۷ دلار دیگر نیز به دست آورد.

در مصاحبه‌ای که به صورت پرسش و پاسخ با Cointelegraph انجام شده است، حکان اونال، سرپرست ارشد مرکز عملیات امنیتی Cyvers Alerts، این آسیب‌پذیری را توضیح داده و بیان کرده است که: «اوراکل مورد استفاده در این قراردادها غیرقابل اعتماد بوده و فقط به یک جفت با نقدینگی محدود حدود ۴۰۰ هزار دلار وابسته بوده است؛ همین امر آن را در برابر نوسانات قیمت آسیب‌پذیر می‌کرد و فرصت دستکاری را فراهم ساخت.»

پیامدهای امنیتی و راه‌های پیشگیری

استفاده از قراردادهای وام‌دهی تایید نشده، ریسک‌های بزرگی را به فضای DeFi اضافه می‌کند. به گفته اونال، به‌کارگیری یک اوراکل مطمئن‌تر و متنوع با نقدینگی بالاتر می‌تواند از بروز حملات مشابه جلوگیری کند؛ خصوصاً برای دارایی‌هایی نظیر WETH که به شدت مورد توجه قرار می‌گیرند.

به علاوه، اونال تاکید کرد که انجام بررسی‌های دقیق‌تر برای تایید قراردادهای وام‌دهی و خصوصاً اوراکل‌های مورد استفاده می‌تواند نقش بسزایی در کاهش این‌گونه ریسک‌ها داشته باشد.

مسئولیت با چه کسی است؟

اونال در پاسخ به این سوال که مسئول این حادثه چه کسی است، به Cointelegraph گفت که: «مهاجم توانسته با استفاده از ضعف در دستکاری قیمت، از این سرقت فرار کند. احتمالاً مسئولیت این رخداد بر عهده نهادی است که این قراردادهای تایید نشده را مدیریت کرده و از اوراکلی با امنیت ناکافی برای تایید قیمت استفاده کرده است.»

این حادثه نشان‌دهنده نیاز شدید به بهبود پروتکل‌های امنیتی در پلتفرم‌های DeFi است تا از امنیت وجوه کاربران اطمینان حاصل شود و تایید قراردادها به گونه‌ای انجام گیرد که از وقوع رویدادهای مشابه جلوگیری شود.