0

2

حملهٔ هکرها به استخرهای کارخانه در پروتکل کرو فایننس (Curve Finance)

استخرهای کارخانه (Factory pools) در Curve Finance با ضعف ورود مجدد (Reentrancy Vulnerablility) مواجه شده‌اند؛ یک نقص امنیتی مهم که در آن تماس خارجی قرارداد قطع و قبل از اتمام آن دوباره فراخوانی می‌شود، و به طور بالقوه به مهاجمان اجازه تخلیه وجوه یا سوء‌استفاده از منطق قرارداد را می‌دهد. این آسیب‌پذیری منجر به برداشت‌های قابل‌توجهی از استخرهای مرتبط مختلف شده که بالغ بر ۲۶ میلیون دلار است.

حمله به استخرهای کارخانه در فایننس کرو
هستی تاری

زمان مطالعه :

1 دقیقه
فهرست عنوان ها

به گفته تحلیلگران امنیتی Beosin، مهاجم چند استخر Curve از پروژه‌های مختلف از جمله JPEGd ،Metronome و Alchemix را مورد حمله قرار داده است.

در این حمله استخر pEth-Eth  جِی‌پی‌ای‌جی‌دی در Curve شاهد خروجی ۱۱.۴ میلیون دلاری و استخر seTH-ETH مترونوم شاهد خروجی ۱.۶ میلیون دلاری بوده است. بیشترین میزان برداشت وجه نیز از استخر  alETH-ETH الکمیست صورت گرفته که ۱۳.۶ میلیون دلار برآورد شده است.

ارز دیجیتال

Curve Finance یک صرافی غیرمتمرکز (DEX) است که برای خرید و فروش مؤثر استیبل کوین بهینه شده است. با گذشت زمان، این پلتفرم محصولات خود را برای تأمین انواع دیگر دارایی‌ها گسترش داده است. منظور از استخرهای کارخانه سیستمی است که در آن می‌توان استخرهای نقدینگی جدید را با استفاده از یک چارچوب استاندارد یا «کارخانه» ایجاد کرد. به‌جای اینکه تیم Curve به صورت دستی هر استخر را ایجاد کند، این سیستم رویکرد مستقل‌تری را ارائه می‌‌دهد و پروژه‌ها یا افراد را قادر می‌سازد استخرهای نقدینگی خود را با استفاده از زیرساخت‌های Curve راه‌اندازی کنند.

باگ‌های نسخهٔ Vyper

طبق اظهارات ایگور ایگامبردیف (Igor Igamberdiev)، رئیس تحقیقات Wintermute، جریان‌های خروجی صورت گرفته شامل مراحلی بود که با وام فوری Flash Loan آغاز شد که به نظر می‌رسد از ضعف بخش ورود مجدد مرتبط با نسخه‌های کامپایلر زبان برنامه‌نویسی Vyper قرارداد هوشمند اتریوم سوء‌استفاده می‌کند.

Vyper اذعان کرده است که نسخه‌های ۰.۲.۱۵، ۰.۲.۱۶ و ۰.۳.۰ آن در برابر خرابی قفل‌های ورود مجدد آسیب‌پذیر هستند و در حال بررسی آن هستند.

در حالی که نگرانی‌های پیرامون این نقض گسترده امنیتی واکنش‌های فوری را در پی داشته، شواهد نشان می‌دهد ربات‌های MEV ممکن است در پیش‌برد برخی از این تراکنش‌ها نقش داشته باشند، که منجر به گمانه‌زنی‌هایی مبنی بر دست داشتن هکرهای کلاه سفید در این اکسپلویت شده است.

یک محقق امنیت شبکه با نام مستعار «pcaversaccio» در توییتر اعلام کرده: «ما (هکرهای کلاه سفید) در حال کشف نقاط ضعف این سیستم هستیم. اگر فکر می‌کنید پروژه شما اکسپلویت شده، لطفاً تماس بگیرید.»

منبع: د بلاک

0
اشتراک در
اطلاع از
guest
0 تمام دیدگاه‌ها
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها

چنانچه به مشاوره رایگان علاقه‌مندید، پرسش‌ها و نظرات خود را درباره این مقاله یا موضوعات مختلف حوزه بلاکچین و ارزهای دیجیتال مطرح کنید. برای پاسخگویی آماده‌ایم!

نظر بدهید

نظرات پست (0)