بر اساس دادههای منتشر شده توسط DefiLlama جمعآورنده پروژه DeFi، پلتفرمهای DeFi در ماه فوریه بیش از ۲۱ میلیون دلار به هکرها ضرر رساندند.
ورود مجدد، حملات پیشبینی قیمت و سوء استفاده در هفت پروتکل باعث شد که فضای غیرمتمرکز مالی (DeFi) حداقل 21 میلیون دلار در ارزهای دیجیتال در ماه فوریه از دست بدهد.
بر اساس پلتفرم تجزیه و تحلیل داده محور DeFi، DefiLlama، یکی از بزرگترین حملات ماه، حمله مجدد اعتباری به Platypus Finance بود که منجر به از دست رفتن وجوه 8.5 میلیون دلاری شد.
DefiLlama شش هک قابل توجه دیگر را در طول ماه برجسته کرد که اولین مورد حمله پیش بینی قیمت به BonqDAO در فوریه بود.
BonqDAO: 1.7 میلیون دلار
در 1 فوریه، BonqDAO به پیروان خود اعلام کرد که پروتکل Bonq در معرض یک حمله پیشگویی قرار دارد که به بهرهبردار اجازه میدهد قیمت توکن AllianceBlock (ALBT) را دستکاری کند.
استثمارگر قیمت ALBT را افزایش داد و مقادیر زیادی BEUR را چاپ کرد. BEUR بعداً با توکن های دیگری در Uniswap جایگزین شد. متعاقباً قیمت تقریباً به صفر کاهش یافت که باعث انحلال گنجینه های ALBT شد.
شرکت امنیتی بلاک چین PeckShield ضرر و زیان را حدود 120 میلیون دلار تخمین زد، اما بعداً گزارش شد که هکرها تنها حدود 1 میلیون دلار را به دلیل کمبود نقدینگی در BonqDAO نقد کردند.
پروتکل Orion: 3 میلیون دلار
فقط یک روز بعد، پروتکل صرافی غیرمتمرکز Orion با مشکل مواجه شد. ضرر – زیان نزدیک به 3 میلیون دلار در 2 فوریه از طریق یک حمله ورود مجدد، که در آن مهاجمان از یک قرارداد هوشمند مخرب برای برداشت وجه از یک هدف با دستورهای برداشت مکرر استفاده می کنند.
ما در حال بررسی این حمله بسیار پیچیده از لحظه وقوع آن هستیم. تا زمانی که مطمئن شویم اشکال رفع شده است، تابع Deposit را دوباره باز نمی کنیم. این تنها پس از گذراندن موفقیت آمیز ممیزی های جدید توسط شرکت های حسابرسی پیشرو امکان پذیر خواهد بود.
— الکسی کولوسکوف (@alexeykoloskov) 2 فوریه 2023
در آن زمان، الکسی کولوسکوف، مدیرعامل Orion Protocol این حمله را تایید کرد و به همه اطمینان داد که “همه سرمایه های کاربران امن و مطمئن هستند.”
دلیلی داریم که باور کنیم این مشکل نتیجه هیچ نقصی در کد پروتکل اصلی ما نیست، بلکه ممکن است ناشی از آسیبپذیری در اختلاط کتابخانههای شخص ثالث در یکی از قراردادهای هوشمند مورد استفاده کارگزاران تجربی و اختصاصی ما باشد. ،” او گفت.
شبکه dForce: 3.65 میلیون دلار
شبکه dForce پروتکل دیفای در ماه فوریه قربانی حملهای با ورود مجدد شد که منجر به ضرر حدود 3.65 میلیون دلاری شد.
در 10 فوریه پست کردنdForce اکسپلویت را تایید کرده است. اما با تغییر، زمانی که هکر به عنوان هکر کلاه سفید ظاهر شد، تمام پول بازپرداخت شد.
2/5 مدت کوتاهی پس از حادثه، با فرد متجاوز که کلاه سفیدی بر سر داشت، به گفت و گو پرداختیم. ما با ارائه جایزه موافقت کردهایم و تمام تحقیقات جاری و اقدامات اجرای قانون را متوقف خواهیم کرد.
— dForce (@dForcenet) 13 فوریه 2023
dForce گفت: “در 13 فوریه 2023، وجوه سوء استفاده شده به طور کامل به امضای چندگانه ما در مورد داوری و خوش بینی بازگردانده شد، که پایانی عالی برای همه است.”
Platypus Finance: 9.1 میلیون دلار
در 16 فوریه، پروتکل DeFi Platypus Finance مورد حمله وام قرار گرفت که منجر به خروج 8.5 میلیون دلار از پروتکل شد.
گزارش کالبد شکافی از بازرس پلاتیپوس Omniscia اشاره کرد که حمله به دلیل کد در ترتیب اشتباه امکان پذیر بود.
در 23 فوریه، تیم اعلام کرد که در تلاش است حدود 78 درصد از وجوه استخر اصلی را با چاپ مجدد استیبل کوینهای منجمد بازگرداند.
صفحه جبران خسارت به روز شد
ما امروز صفحه جبران خسارت خود را به روز کردیم! اگر قبل از توقف موقت، توکنهای LP را از جمعآوران بازده ما واریز کرده یا برداشت کردهاید، مبلغ غرامت شما بر این اساس بهروزرسانی میشود.
بیشتر https://t.co/GfLIn5jmtF— Platypus (++) (@Platypusdefi) 3 مارس 2023
این تیم همچنین رویداد دوم و سوم را تأیید کرد که منجر به سوء استفاده از 667000 دلار دیگر شد که منجر به ضرر کلی تقریباً 9.1 میلیون دلار شد.
پلیس فرانسه دو مظنون مرتبط با این حمله را دستگیر کرد و حدود 222000 دلار دارایی رمزنگاری شده را در 25 فوریه مصادره کرد.
تامین مالی امید: 1.86 میلیون دلار
چند روز بعد، کاربران پروژه استیبل کوین الگوریتمی مبتنی بر آربیتروم Hope Finance قربانی یک سوء استفاده قرارداد هوشمند شدند که شاهد سرقت نزدیک به 2 میلیون دلار از کاربران در 20 فوریه بود.
#CommunityAlert @hope_fin کلاهبرداری در جامعه به مبلغ 2 میلیون دلار اعلام شد که آن را به بزرگترین تبدیل کرد #exitscam در آربیتروم در سال 2023.
1.86 میلیون دلار جابجا شد @TornadoCash.
Hope_fin مراحلی را برای کاربران ارسال کرد تا بتوانند LP سهام خود را پس بگیرندhttps://t.co/hJbFXiKujt
– هشدار CertiK (@CertikAlert) 21 فوریه 2023
شرکت امنیتی Web3 CertiK این رویداد را در 21 فوریه پس از اعلامیه ای در حساب توییتر Hope Finance خود که کاربران را از کلاهبرداری مطلع می کرد، پرچم گذاری کرد.
یکی از اعضای تیم CertiK در آن زمان به کوین تلگراف گفت که کلاهبردار جزئیات قرارداد هوشمند را تغییر داد که منجر به برداشت وجوه از پروتکل تشکیل Hope Finance شد:
ظاهراً کلاهبردار قرارداد TradingHelper خود را تغییر داد، به این معنی که وقتی او با OpenTrade در 0x4481 GenesisRewardPool تماس گرفت، وجوه به کلاهبردار منتقل شد.
Dexible: 2 میلیون دلار
تجمیع کننده صرافی چند زنجیره ای Dexible از یک آسیب پذیری که عملکرد selfSwap برنامه را هدف قرار می دهد سوء استفاده کرد و در نتیجه حمله 17 فوریه 2 میلیون دلار ارزهای دیجیتال از دست رفت.
طبق یک پست در 18 فوریه از صرافی، «یک هکر از یک آسیبپذیری در جدیدترین قرارداد هوشمند ما سوء استفاده کرد. این به هکر این امکان را میدهد که با تأیید هزینههای خرج نشده در قرارداد، وجوهی را از هر کیف پولی بدزدد.»
جامعه عزیز Dexible، متأسفانه به اطلاع شما میرسانیم که در ساعات اولیه 17 فوریه، یک هکر از یک آسیبپذیری در جدیدترین قرارداد هوشمند ما سوء استفاده کرد. این به هکر این امکان را می دهد که با تأیید هزینه های خرج نشده در قرارداد، وجوهی را از هر کیف پولی سرقت کند.
1/5
– Dexible (@DexibleApp) 17 فوریه 2023
پس از بررسی، تیم Dexible متوجه شد که یک مهاجم از تابع selfSwap اپلیکیشن برای انتقال بیش از 2 میلیون دلار ارز رمزنگاری شده از کاربرانی که قبلاً به برنامه اجازه داده بودند توکنهای خود را انتقال دهد، استفاده کرده است.
پس از اینکه مهاجم توکنها را در قرارداد هوشمند خود قرار داد، توکنها را از طریق Tornado Cash به کیف پولهای BNB ناشناخته برداشت.
LaunchZone: 700000 دلار
پروتکل تامین مالی غیرمتمرکز (DeFi) مبتنی بر زنجیره BNB LaunchZone در فوریه 700,000 دلار سرمایه را تخلیه کرد.
راستی یک مهاجم از یک قرارداد تایید نشده برای تخلیه سرمایه به شرکت امنیتی بلاک چین Immunefi سوء استفاده کرد.
ایمونفی گفت: “قرارداد تایید نشده 473 روز پیش توسط توسعه دهنده LaunchZone تایید شد.” گفت.
مرتبط با: زیان بهرهبرداری کریپتو در ژانویه شاهد کاهش تقریباً 93 درصدی نسبت به سال گذشته بود.
بر اساس ارقام DefiLlama، ارقام فوریه نسبت به ژانویه افزایش زیادی داشته است.
این ردیاب تنها ۷۴۰ هزار دلار حملات را در یک ماه در پلتفرمهای DeFi در دو پروتکل (Midas Capital و ROE Finance) فهرست میکند.
شرکت داده های بلاک چین Chainalysis در گزارش Crypto Crime در سال 2023 خود فاش کرد که هکرها 3.1 میلیارد دلار از پروتکل های DeFi در سال 2021 سرقت کردند که بیش از 82٪ از کل مبلغ سرقت شده در سال جاری را تشکیل می دهد.
نویسنده: Stephen Katte