صنعت مالی غیرمتمرکز (DeFi) اخیراً تا شده یک تخلف چند میلیون دلاری دیگر.
با توجه به هشدارهای شرکتهای امنیتی بلاک چین SlowMist و PeckShield، هکرها موفق شدند تقریباً 5.9 میلیون دلار اتریوم، بیتکوین پیچیده (WBTC) و استیبل کوینها را از پروتکل معاملاتی Trusted Volumes خارج کنند.
این به دلیل یک نقص اساسی در منطق تأیید امضای اساسی پروتکل است. این نقص به مهاجم اجازه میداد تا از بررسیهای مجوز عبور کند و دستورات معاملاتی را جعل کند.
رمز ارز Zcash (ZEC) شماره یک، Toncoin (TON) Dwarfs Solana (SOL)، XRP بالاخره مقاومت کلیدی را می شکند، اما زود است: بررسی بازار ارز دیجیتال مدل Bollinger می گوید بیت کوین بخرید
یک نقص کشنده
Trusted Volumes یک پروتکل معاملاتی DeFi است که بر اساس معماری Request for Quote (RFQ) ساخته شده است. آنها مشابه میزهای غیرمتمرکز خارج از بورس (OTC) عمل می کنند.
یک سیستم RFQ تجارت همتا به همتا را تسهیل می کند، که آن را از بازارسازان خودکار سنتی (AMM) مانند Uniswap متمایز می کند.
«خریدار» قیمت میخواهد، «سازنده» قیمت ثابتی را ارائه میدهد. هر دو طرف به صورت رمزنگاری سفارش را امضا می کنند و قرارداد هوشمند مبادله را اجرا می کند. کاربران برای انتقال وجوه خود باید پروتکل را تأیید کنند. بنابراین، تأیید کامل امضای رمزنگاری برای امنیت شبکه RFQ ضروری است.
در این مورد، نقض امنیتی مخرب ناشی از یک خطای منطقی در تابع fillOrder پروتکل است.
طبق گفته PeckShield، کل این انتقال 5.9 میلیون دلار بوده است. پس از کشتار دارایی های تخلیه شده توسط SlowMist، انبوهی از 1291 ETH (3.02 میلیون دلار)، 16.94 WBTC (1.37 میلیون دلار)، 1.26 میلیون USDC و 206000 USDT آشکار شد.
بازیگر بد بلافاصله شروع به شستشوی وجوه دزدیده شده کرد (هیچکس تعجب نکرد). دادههای زنجیرهای تأیید میکند که مهاجم استیبلکوینهای دزدیده شده را شسته و بیتکوین را از طریق یک صرافی غیرمتمرکز پیچیده کرده است.
نویسنده: Alex Dovbnya
