Earning.farm، یک ماشین بازدهی کاربرپسند برای دارندگان اتریوم (ETH)، بیت کوین پیچیده (WBTC) و سکه USD (USDC)، توسط عوامل بد سوء استفاده می شود.
Earning.farm تقریباً 1 میلیون دلار تخلیه شد، در اینجا چگونه است
طبق بیانیه ای که توسط فروشنده امنیتی Web3 مستقر در کالیفرنیا، Supremacy Inc. به اشتراک گذاشته شده است، gain.farm DeFi روز گذشته، 15 اکتبر 2022، دچار دو حمله شد.
1/ سلام @EarningFarm، قرارداد EFLeverVault شما با حمله Flashloan مواجه شد که منجر به سود تجمعی 480 اتر از ربات MEV و 268 اتر از هکرها شد. در اینجا یک تجزیه و تحلیل آسیب پذیری کوتاه از حمله است.https://t.co/Faw9FyWae1 pic.twitter.com/jhXuqbq1dJ
— Supremacy Inc. (@Supremacy_CA) 14 اکتبر 2022
EFLeverVault، یک عنصر کلیدی در طراحی gain.farm DeFi، هدف حملات وام های فلش قرار گرفت. به دلیل نقص معماری قرارداد، مهاجمان موفق شدند تمام اترها (ETH) ذخیره شده در قرارداد را که به عنوان وثیقه طراحی شده بود، پس بگیرند.
مانند توضیح داد توسط یک محقق باتجربه امنیت بلاک چین، دانیل فون فانگ، قرارداد EFLeverVault برای تأیید آغازگر برداشت بزرگ ثبت شد:
هک 750 ETH از EFLeverVault چند ساعت پیش به این دلیل اتفاق افتاد که قرارداد تأیید نمی کرد که تماس های فلش وام واقعاً توسط پروتکل آغاز شده است و به مهاجم اجازه می دهد تا به پروتکل بگوید که مقادیر زیادی وجوه را برداشت کند.
در نتیجه، در مجموع 750 اتر از پروتکل حذف شد: 480 اتر به یک ربات MEV ختم شد، در حالی که 268 اتر توسط هکرها خارج شدند.
فصل هک به جای “Uptober”
از آنجایی که اتریوم (ETH)، دومین ارز دیجیتال بزرگ، دیروز با قیمت 1300 دلار در پلتفرم های اصلی معاملات نقطه ای تغییر کرد، ضرر خالص ممکن است از 950،000 دلار فراتر رود.
اکتبر 2022 به عنوان ماه حملات بی بدیل علیه زیرساخت اصلی DeFi در خاطره خواهد ماند. در 7 اکتبر 2022، پلی بین دو عنصر زنجیره BNB به مبلغ 566 میلیون دلار مورد بهره برداری قرار گرفت.
در 12 اکتبر، پروتکل نقدینگی مبتنی بر سولانا، Mango، 100 میلیون دلار بهعنوان یک عامل بدخواه تخلیه شد. اداره می شود برای دستکاری اوراکل های قیمت.
بعداً، جامعه مانگو موافقت کرد که بزرگترین جایزه باگ را به هکر بپردازد: آنها 47 میلیون دلار دریافت می کنند و بقیه وجوه آسیب دیده را برمی گردانند.
