تعداد حملات به پلتفرم های Defi همیشه در حال افزایش است. وقتی این واقعیت را در نظر می گیریم که ده ها میلیارد دلار در فضای غیرمتمرکز مالی در گردش است، تعجب آور نیست. به گفته کارشناسان، دلیل اصلی این حملات، توسعه سریع بخش DeFi، آزمایش ناکافی و فقدان ممیزی امنیتی است. زیرا بسیاری از پروژهها برای ورود به بازار عجله دارند. هکرها از روشهای مختلفی برای تهیه رمزارز استفاده میکنند، اما شایعترین علت هک، آسیبپذیری در قراردادهای هوشمند است.
قراردادهای هوشمند عنصر اصلی اکوسیستم مالی غیرمتمرکز هستند. مانند هر نرم افزار دیگری، آنها توسط افراد توسعه می یابند، به این معنی که خطر خطا در کد برنامه و تنظیمات وجود دارد و همیشه وجود خواهد داشت. اگر یک قرارداد هوشمند آسیب پذیر باشد، برنامه توزیع شده توسعه یافته بر روی آن نیز آسیب پذیر خواهد بود و نقطه ورود مهاجمان را فراهم می کند.
5 هک برتر پلتفرم های DeFi در سال 2022
سال گذشته سهم خود را از هک ارزهای دیجیتال داشت. طبق گزارش Chainalysis، در مجموع 3 میلیارد دلار سکه و توکن توسط هکرها به سرقت رفته است. بزرگترین سرقت ها مربوط به پل های زنجیره ای متقابل و پروتکل های DeFi بود.
رونین (625 دلار آمریکا)
شبکه Ronin – که میزبان بازی محبوب مبتنی بر بلاک چین Axie Infinity است که توسط Sky Mavis ساخته شده است – در مارس 2022 625 میلیون دلار ETH و USDC مورد سرقت قرار گرفت. این هک تا یک هفته بعد کشف نشد، زمانی که یک کاربر شکایت کرد که آنها نتوانستند ETH خود را از Axie Infinity خارج کنند.
این بزرگترین سرقت رمزارز تا به امروز است و گروه لازاروس، یک تیم هکر کره شمالی، مقصر شناخته شده است.
مهاجمان موفق شدند با استفاده از حمله فیشینگ ایمیلی به کارمند سابق Sky Mavis به زیرساخت فناوری اطلاعات شرکت دسترسی پیدا کنند. پس از یافتن کلیدهای خصوصی گره های اعتبارسنجی شبکه در سرورهای داخلی شرکت، آنها را دزدیدند و کنترل کل شبکه رونین را در دست گرفتند.
شبکه Ronin تنها توسط 9 اعتبار سنجی، که 4 مورد از آنها توسط Sky Mavis مدیریت می شد، محافظت می شد، در حالی که تنها 5 اعتبار از 9 اعتبارسنجی برای تایید واریز و برداشت وجه مورد نیاز بود.
این بدان معنی بود که هنگامی که مهاجمان کنترل گره پنجم (که توسط Axie DAO مدیریت میشد) را با استفاده از یک درب پشتی به دست آوردند، به سادگی میتوانستند وجوه خود را از شبکه برداشت کنند. آنها بیش از 173600 ETH و 25.5 میلیون USDC را برداشتند.
به گفته کارشناسان، هکرها سکه های دزدیده شده را از طریق چندین میکسر رمزنگاری از جمله Tornado Cash، Blender و ChipMixer جابه جا کردند تا ظاهراً آنها را به شبکه بیت کوین منتقل کنند.
Sky Mavis اعلام کرد که غرامت بیشتر قربانیان این سرقت با استفاده از سرمایه شخصی شرکت، به اضافه 150 میلیون دلار از محل جمع آوری کمک مالی به رهبری بایننس، به طور کامل پرداخت شده است.
Wormhole (325 میلیون دلار آمریکا)
Wormhole یک پروتکل پل متقابل زنجیره ای است که به کاربران اجازه می دهد ETH را به توکن های پیچیده WETH (Wormhole ETH) در شبکه Solana منتقل کنند.
در فوریه 2022، یک هکر ناشناس به پل متقابل زنجیره ای حمله کرد. آنها امضاهای امنیتی جعل کردند، 120000 WETH را از هوای رقیق ساختند و آن را با اتریوم در شبکه اتریوم مبادله کردند، در نتیجه استخر نقدینگی Wormhole را خالی کردند.
پل شبکه پس از هک از کار افتاد، اما چند روز بعد دوباره آنلاین شد. تمام وجوه دزدیده شده با استفاده از وجوه Jump Crypto، شرکتی که Wormhole را ایجاد کرده بود، به صاحبانشان بازگردانده شد.
Nomad (190 میلیون دلار)
پل دیگری در آگوست 2022 شکسته شد. Nomad، یک پل زنجیره ای متقاطع که شبکه های اتریوم، آوالانچ، مون بیم، اوموس و میلکومدا را به هم متصل می کند، به ارزش 190 میلیون دلار هک شد.
این آسیبپذیری نتیجه پیکربندی نادرست قرارداد هوشمند اصلی پروژه بود. توسعه دهندگان در حین به روز رسانی اشتباهی مرتکب شدند که به هر کسی که حداقل دانش اولیه از کد برنامه نویسی را داشت اجازه می داد به خود اجازه برداشت وجه را بدهد. تا زمانی که خطا مشخص شد، بیش از 300 کاربر برای برداشت غیرقانونی وجوه از پل هجوم بردند. با این حال، مشخص شد که برخی از آنها هکرهای “کلاه سفید” هستند و بعداً 22 میلیون دلار را به پلتفرم بازگرداندند. کارشناسان این هک را “اولین سرقت دسته جمعی غیر متمرکز” می نامند.
مزارع لوبیا (182 میلیون دلار)
این پروتکل استیبل کوین ساخته شده بر روی اتریوم در آوریل 2022 مورد حمله قرار گرفت. هکر با انجام مراحل زیر به شبکه نفوذ کرد:
- از وام های فلش بدون وثیقه برای جمع آوری بیش از 1 میلیارد دلار USDC، USDT، DAI و سایر استیبل کوین ها در پلتفرم های مختلف غیرمتمرکز (Uniswap، SushiSwap و Aave) استفاده کرد.
- این وجوه را به استخر BEAN اضافه کرد و 67٪ از توکن های حاکمیتی Stalk را که برای رای دادن در شبکه استفاده می شود، دریافت کرد.
- دو پیشنهاد حکومتی مخرب (BIP-18 و BIP-19) را که درخواست پروتکلی برای اهدای بودجه به اوکراین داشتند، مستقر و تأیید کرد. هکر کد مخربی را به این پیشنهادات اضافه کرده بود که به گفته حسابرس قرارداد هوشمند BlockSec، منجر به حذف وجوه از پروتکل شد.
شرکت امنیت سایبری PeckShield تخمین می زند که این حادثه برای Beanstalk 182 میلیون دلار هزینه داشته است.
بازار انبه (114 میلیون دلار)
این پلتفرم وام دهی و معاملاتی که بر روی سولانا ساخته شده است، در اکتبر 2022 در نتیجه دستکاری بازار، 114 میلیون دلار ضرر کرد.
هکر – بعداً مشخص شد که تیم هک توسط تاجر Avraham Eisenberg رهبری می شد – تصمیم گرفت تا با دستکاری قیمت توکن MNGO سپرده های مشتری را از Mango Markets خارج کند. او اقدامات زیر را انجام داد:
- 5 میلیون USDC به Mango Markets واریز شد.
- یک موقعیت طولانی بزرگ در توکن MNGO باز کرد که باعث شد قیمت آن تنها در یک ساعت بیش از 1000٪ افزایش یابد. ارزش حساب هکر نیز در نتیجه افزایش یافت.
- 114 میلیون دلار وام در مقابل ارزش وثیقه بسیار متورم در سبدی از سکه ها و توکن های مختلف گرفت، وجوه را برداشت کرد و با پول به پرواز درآمد.
آیزنبرگ بعداً با یک توافقنامه تسویه حساب با توسعه دهندگان پروژه موافقت کرد و 69 میلیون دلار را پس داد. او بعداً هویت خود را فاش کرد، زمانی که وزارت دادگستری ایالات متحده او را در دسامبر 2022 دستگیر کرد و او را به جرایم مرتبط با دستکاری بازار متهم کرد، عاقلانه نبود.
سال 2023 برای سودجویان بی قانون ارزهای دیجیتال چگونه پیش می رود؟
به گفته تحلیلگران PeckShield، هکرها در ژانویه 2023 24 هک ارز دیجیتال به ارزش مجموعا 8.8 میلیون دلار انجام دادند.
این میزان 14 برابر کمتر از میزان سرقت شده توسط هکرها در مدت مشابه سال گذشته است.
بزرگترین حمله به LendHub رخ داد، زمانی که هکرها در یک حمله 6 میلیون دلار از پلتفرم وام دهی برداشتند. سایر پروژه های رمزنگاری که تا کنون در سال جاری هک شده اند عبارتند از Mycelium، Thoreum Capital، Midas Capital و OMNI.
PeckShield همچنین فاش کرد که فوریه 2023 شاهد 209 هک به ارزش 35 میلیون دلار بود که ده برابر کمتر از سرقت شده در همان ماه در سال 2022 است.
هیچ نوآوری امنیتی جدیدی در این دوره رخ نداده است، به این معنی که هک پروتکل DeFi ادامه خواهد داشت. در اینجا، بخشی از حکمت باستانی ممکن است مفید باشد: همه تخم مرغ های خود را در یک سبد قرار ندهید، وگرنه ممکن است همه چیز را در یک لحظه از دست بدهید.
آکادمی قزلباش
همانطور که میدانیم موفقیت در معاملات بازار ارزهای دیجیتال همانند تمامی حرفه های تخصصی دیگر، نیازمند مهارت و تجربه بسیاری است. و اولین کار در این بازار آشنا شدن با مفهوم ( ارز دیجیتال چیست ) است. با توجه به اینکه بسیاری از افراد زمان کافی برای فراگیری دانش مربوط به فعالیت در بازار را ندارند اما همچنان تمایل به کسب سود از این بازار را به عنوان شغل دوم خود دارند. آکادمی کمال قزلباش با ارائه خدمتی کارآمد برای کمک به این دسته از عزیزان در رابطه با آموزش ارز دیجیتال تلاش کرده است. کاربران میتوانند از خدمات ما به عنوان چراغ راه مسیر موفقیت خود در این بازار استفاده کنند. و در صورت تمایل به سرمایه گذاری در ارزهای دیجیتال و یا آموزش ارز دیجیتال در ارومیه با مشاورین ما به صورت کاملا رایگان در ارتباط باشید.
