Sentiment، یک پلتفرم مالی غیرمتمرکز (DeFi) که خدمات وام دهی و استقراض را در شبکه لایه 2 Arbitrum ارائه می دهد، در 4 آوریل مورد سوء استفاده مخرب قرار گرفت که منجر به ضرری نزدیک به 1 میلیون دلار شد.
مهاجم از یک اشکال ورود مجدد در Balancer استفاده کرد، یک پروتکل نقدینگی که احساسات برای اجرای تراکنشهای جعلی و تخلیه وجوه از پلتفرم، ادغام میشود.
طبق حساب رسمی توییتر Sentiment، تیم متوجه فعالیت غیرعادی استقراض در حدود ساعت 6 بعد از ظهر UTC در 4 آوریل شد و بلافاصله قرارداد اصلی را متوقف کرد تا از ضرر بیشتر جلوگیری شود.
این تیم همچنین از کارشناسان امنیتی شخص ثالث PeckShield کمک گرفت که ماهیت و وسعت حمله را تأیید کردند و برای آسیبپذیری راه حلی ارائه کردند.
1/4
بهروزرسانی وضعیت در مورد وضعیت فعلی: تقریباً در ساعت 06:00:00 بعد از ظهر +UTC، تیم Sentiment از فعالیت غیرعادی وامگیری که اکنون به عنوان یک سوء استفاده مخرب اعلام شده است، آگاه شد.
— احساسات (@sentimentxyz) 5 آوریل 2023
Sentiment گفت که کاربران اکنون می توانند بدهی های خود را بازپرداخت کرده و وجوه خود را برداشت کنند و با مجریان قانون و سایر طرف ها برای ردیابی هکر و بازیابی دارایی های رمزنگاری سرقت شده همکاری می کند.
مشاور امنیتی این پلتفرم، PeckShield، تجزیه و تحلیل مفصلی از این اکسپلویت را در وبلاگ خود منتشر کرد و توضیح داد که چگونه مهاجم از یک باگ ورود مجدد view سوء استفاده کرده است. متعادل کننده برای دستکاری موجودی استخر و وثیقه بیش از حد وام های خود بر روی احساسات.
به گفته Peckshield، مهاجم سپس از وام های فلش برای قرض گرفتن و نقد کردن مقادیر زیادی توکن از Sentiment استفاده کرد که با حدود 1 میلیون دلار ارز رمزنگاری شده به دست آورد.
سوء استفاده های DeFi در حال افزایش است
حمله به Sentiment آخرین مورد از یک سری سرقتهایی است که پلتفرمهای DeFi را هدف قرار میدهند. در 13 مارس، اویلر فاینانس در یک حمله وام فوری که منجر به از دست دادن 197 میلیون دلار از دارایی های دیجیتالی شد، در انتهای اشتباه قرار داشت.
تجزیه و تحلیل Peckshield از این حمله حدس زد که استثمارگر از نقص در منطق کمک مالی و انحلال اویلر فاینانس برای سرقت پول استفاده کرده است.
با این حال، هکر بازگشت وجوه دزدیده شده پس از هفتهها درام پرحاشیه که شامل پیشنهاد جایزه میلیون دلاری از اویلر، تهدید به اقدام قانونی و پشیمان اعتراف مجرم
این حملات خطرات امنیتی را که پلتفرمهای DeFi با آن مواجه هستند، افزایش دادهاند، عمدتاً زمانی که به پروتکلهای خارجی متکی هستند که ممکن است نقصها یا آسیبپذیریهای پنهان داشته باشند.
صنعت کریپتو در سال 2022 بیش از 3 میلیارد دلار به دست هکرها و کلاهبرداران از دست داد و امسال شاهد افزایش مجدد چنین سرقتها و سرقتهایی بوده است. در ماه گذشته به تنهایی، به عنوان گزارش شده است توسط crypto.news، هکرها بیش از 21 میلیون دلار از پروتکل های DeFi سرقت کردند.
