حملهٔ هکرها به استخرهای کارخانه در پروتکل کرو فایننس (Curve Finance)

به گفته تحلیلگران امنیتی Beosin، مهاجم چند استخر Curve از پروژه‌های مختلف از جمله JPEGd ،Metronome و Alchemix را مورد حمله قرار داده است.

در این حمله استخر pEth-Eth  جِی‌پی‌ای‌جی‌دی در Curve شاهد خروجی ۱۱.۴ میلیون دلاری و استخر seTH-ETH مترونوم شاهد خروجی ۱.۶ میلیون دلاری بوده است. بیشترین میزان برداشت وجه نیز از استخر  alETH-ETH الکمیست صورت گرفته که ۱۳.۶ میلیون دلار برآورد شده است.

Curve Finance یک صرافی غیرمتمرکز (DEX) است که برای خرید و فروش مؤثر استیبل کوین بهینه شده است. با گذشت زمان، این پلتفرم محصولات خود را برای تأمین انواع دیگر دارایی‌ها گسترش داده است. منظور از استخرهای کارخانه سیستمی است که در آن می‌توان استخرهای نقدینگی جدید را با استفاده از یک چارچوب استاندارد یا «کارخانه» ایجاد کرد. به‌جای اینکه تیم Curve به صورت دستی هر استخر را ایجاد کند، این سیستم رویکرد مستقل‌تری را ارائه می‌‌دهد و پروژه‌ها یا افراد را قادر می‌سازد استخرهای نقدینگی خود را با استفاده از زیرساخت‌های Curve راه‌اندازی کنند.

باگ‌های نسخهٔ Vyper

طبق اظهارات ایگور ایگامبردیف (Igor Igamberdiev)، رئیس تحقیقات Wintermute، جریان‌های خروجی صورت گرفته شامل مراحلی بود که با وام فوری Flash Loan آغاز شد که به نظر می‌رسد از ضعف بخش ورود مجدد مرتبط با نسخه‌های کامپایلر زبان برنامه‌نویسی Vyper قرارداد هوشمند اتریوم سوء‌استفاده می‌کند.

Vyper اذعان کرده است که نسخه‌های 0.2.15، 0.2.16 و 0.3.0 آن در برابر خرابی قفل‌های ورود مجدد آسیب‌پذیر هستند و در حال بررسی آن هستند.

در حالی که نگرانی‌های پیرامون این نقض گسترده امنیتی واکنش‌های فوری را در پی داشته، شواهد نشان می‌دهد ربات‌های MEV ممکن است در پیش‌برد برخی از این تراکنش‌ها نقش داشته باشند، که منجر به گمانه‌زنی‌هایی مبنی بر دست داشتن هکرهای کلاه سفید در این اکسپلویت شده است.

یک محقق امنیت شبکه با نام مستعار «pcaversaccio» در توییتر اعلام کرده: «ما (هکرهای کلاه سفید) در حال کشف نقاط ضعف این سیستم هستیم. اگر فکر می‌کنید پروژه شما اکسپلویت شده، لطفاً تماس بگیرید.»

منبع: د بلاک