در یک مصاحبه اختصاصی با crypto.news، هکر کلاه سفید با نام مستعار معروف به Trust جزئیات مهمی را در مورد هک اخیری که از آسیب پذیری قرارداد RouteProcessor2 استفاده کرده است، به اشتراک گذاشته است.

Trust توانست مقدار قابل توجهی از سرمایه کاربران را با انجام یک هک پیشگیرانه در 10 آوریل بر روی وجوهی که سیفو نگهداری می کرد، پس انداز کند، اما پس از انتقال آنها به محل امن، آن وجوه را بازگرداند.

متأسفانه، عوامل مخرب توانستند از این حمله تقلید کنند و از آسیب پذیری در برابر سایر دارندگان سوء استفاده کنند.

SushiSwap مورد حمله پیشرفته قرار گرفت

Trust توضیح داد که قرارداد RouteProcessor2 که فقط چهار روز پیش اجرا شد، برای نظارت بر انواع مختلف سوشی‌Swap توکن (SUSHI) طراحی شده است. کاربران قرارداد را برای خرج کردن توکن های ERC20 از قبل تایید می کنند و سپس تابع swap() را برای اجرای swap فراخوانی می کنند.

با این حال، قرارداد با استخرهای UniswapV3 به شیوه ای ناامن تعامل دارد، زیرا کاملاً به آدرس “pool” ارائه شده توسط کاربر اعتماد دارد.

این نظارت به یک استخر بد اجازه می‌دهد اطلاعات نادرستی در مورد منبع و مبلغ انتقال به قرارداد ارائه کند، و هر کاربری را قادر می‌سازد تا مبادله را جعل کند و به کل مبلغ تأیید شده کاربر دیگر دسترسی پیدا کند.

تراست اظهار داشت که این آسیب‌پذیری باید توسط هر مؤسسه حسابرسی معقولی شناسایی می‌شد و نگرانی‌هایی را در مورد بلوغ پایه کد تولید ایجاد می‌کرد.

این هکر همچنین به حضور ربات‌های بسیار پیچیده‌ای اشاره کرد که تراکنش‌های صرفه‌جویی در سرمایه‌شان را برای سرقت دارایی‌ها تکرار کردند و بر منابع و قابلیت‌های گسترده این ربات‌ها که به ربات‌های ارزش استخراج‌پذیر استخراج‌کننده (MEV) معروف هستند تاکید کرد.

Trust به دلایل مختلفی هک پیشگیرانه را انجام داد.

اول، او یک ساعت و نیم قبل از هک یک گزارش آسیب‌پذیری کامل ارائه کرده بود، اما هیچ پاسخی دریافت نکرد.

دوم، او می ترسید که تیم توسعه ممکن است در آخر هفته در دسترس نباشد.

سوم، آن‌ها می‌دانستند که قرارداد قابل اصلاح نیست و فقط می‌توان آن را هک کرد یا تأییدیه‌های کاربران را لغو کرد.

در نهایت، آنها صرفه جویی در یک آدرس واحد را که اکثر صندوق ها را در معرض خطر نگه می دارد، یعنی آدرس سیفو، در اولویت قرار دادند. تراست همچنین پیچیدگی ربات های MEV را در این وضعیت پیش بینی نکرد.

با توجه به این افشاگری‌ها، ارزیابی مجدد شیوه‌های امنیتی و اولویت‌بندی ممیزی‌های کامل قراردادهای هوشمند برای جامعه رمزنگاری برای جلوگیری از سوء استفاده از این آسیب‌پذیری‌ها بسیار مهم است.

اقدامات Trust نشان دهنده اهمیت هکرهای کلاه سفید در اکوسیستم است که برای محافظت از سرمایه کاربران و بهبود امنیت کلی تلاش می کنند.

Newer پست مهمان توسط GulfCoin: GULF CRYPTO BANK مشارکت به عنوان حامی الماس در Fintech & Crypto Summit در بحرین یک موفقیت کامل بود.
Back to list
Older پیش‌بینی قیمت ADA: این راه‌اندازی صعودی نشان می‌دهد که قیمت Cardano برای جهش 10% در این هفته آماده است | سرفصل ها | اخبار

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.