از ۴۵ تا ۶۱۰ میلیون دلار؛ ده حمله هکری بزرگ رمزارزها در سال ۲۰۲۱
در سال ۲۰۲۱ شاهد از دست رفتن نزدیک به ۲ میلیارد دلار در فضای ارزهای دیجیتال به دلیل حملات سایبری بودیم. جالب است بدانید که اعداد اعلام شده فقط در مورد حملات گزارش شده است و در این میان بسیاری از حملههای هکری رمزارز به دلایل مختلف گزارش نشدهاند.
با بررسی گزارشات ارائه شده متوجه یک مسئله میشویم، آن هم افزایش خیرهکننده بیش از ۱۳۰۰ درصدی حمله هکری رمزارز نسبت به سال گذشته است. در سال ۲۰۲۰ یکی از بزرگترین حملات تا آن زمان مربوط به ضرر ۳۴ میلیون دلاری Harvest Finance در یک حمله «وامسریع» بود که در مقابل حملات هکری سال ۲۰۲۱ اصلا به چشم نمیآید.
در ادامه به بررسی ۱۰ مورد از بزرگترین حملات هکری در فضای ارزهای دیجیتال خواهیم پرداخت، از جمله بزرگترین حمله امنیتی DeFi با رقم بیش از ۶۰۰ میلیون دلار که به طرز شگفتانگیزی، برای همه طرفهای درگیر سرانجام خوشی داشت! در این مقاله با دیجیکالا مگ همراه باشید که با هم به بررسی این حملات بپردازیم.
شماره ۱۰: PANCAKEBUNNY / سرمایه از دست رفته ۴۵ میلیون دلار
در روز ۱۹ می ۲۰۲۱، PancakeBunny، یکی از پروتکلهای دیفای زنجیره هوشمند بایننس و پالیگان، قربانی یک حمله وامسریع شد. هکر از پنکیکسواپ استفاده کرده بود تا مقدار زیادی BNB وام بگیرد. سپس به دستکاری قیمت USDT/BNB و BUNNY/BNB پرداخت و در پایان، هکر که از طریق وامسریع مقدار بسیار زیادی توکن BUNNY بدست آورد، تمام توکنهای BUNNY خود را در بازار فروخت و منجر به کاهش قیمت آن شد. در نهایت هکر BNBهایی که وام گرفته بود را از طریق پنکیکسواپ برگرداند. این حمله منجر به از دست رفتن دارایی بزرگی به ارزش ۴۵ میلیون دلار شد.
شماره ۹: URANIUM FINANCE / سرمایه از دست رفته ۵۰ میلیون دلار
Uranium Finance یک صرافی غیرمتمرکز (DEX) در زنجیره هوشمند بایننس (BSC) است. در اواخر آوریل ۲۰۲۱، این پلتفرم در طول فرآیند بروزرسانی خود ۵۰ میلیون دلار سرمایه از دست داد. در این حمله ابتدا توکنهای DOT و ADA از طریق صرافی غیرمتمرکز پنکیک سواپ به اتر و سپس اتر زنجیره هوشمند بایننس توسط پروتکل AnySwap به ETH شبکه اتریوم تبدیل شد.
تمام ۸۰ بیتکوین هم از همین طریق برداشت شده است. این احتمال وجود دارد که حمله صورت گرفته از طرف یکی از اعضای تیم باشد، زیرا قبل از انجام بهروزرسانی و انتقال به نسخه دوم پروتکل Uranium Finance، فرآیند هک کلاه سفید (تست نفوذ توسط متخصصین امنیتی) انجام نشده بود.
با توجه ادعاهای عنوان شده در مورد ماهیت داخلی هک، پس از این حمله Uranium یک طرح کلی از حمله انجام شده را در صفحه Medium خود منتشر کرد. علیرغم درخواست از تیم امنیتی BSC برای کمک به شناسایی مهاجم یا جلوگیری از خروج وجوه از زنجیره، مقدار دارایی سرقت شده از آن زمان تاکنون بازیابی نشده است.
شماره ۸: BELT FINANCE / سرمایه از دست رفته ۵۰ میلیون دلار
درست یک ماه پس از حمله به Uranium Finance، یکی دیگر از DEX های مستقر در زنجیره هوشمند بایننس که Belt Finance نام دارد نیز مورد حمله قرار گرفت که منجر به ضرر ۵۰ میلیون دلاری شد. این اتفاق در نتیجه یک حمله وامسریع رخ داد.
مهاجم از پلتفرم PancakeSwap برای دستکاری وامهایسریع استفاده کرد. بیشترین آسیب به استخر BeltBUSD وارد شد و هکر علاوه بر ضرر کلی ۵۰ میلیون دلاری مبلغ ۶.۲ میلیون دلار نیز به سرقت برد. مانند حمله به Uranium Finance، هکر ناشناس باقی مانده و وجوه دزدیده شده بازگردانی نشده است.
شماره ۷: BZX / سرمایه از دست رفته ۵۵ میلیون دلار
bZx، یک پروتکل غیرمتمرکز معاملات مارجین در شبکههای BSC و Polygon است که در سال ۲۰۲۰ سه حمله مخرب را تجربه کرده بود. bZx تا نوامبر ۲۰۲۱ بدون هیچ مشکل امنیتی مهمی کار میکرد ولی در ۵ نوامبر، این پروتکل زمانی که کلید خصوصی آن به دست سارق افتاد هک شد و مهاجم ۵۵ میلیون دلار را سرقت کرد. در این حمله هر دو شبکه Polygon و bZx تحت تاثیر هک قرار گرفتند.
معاملات مارجین (Margin Trading) روشی برای معامله داراییها با استفاده از سرمایه ارائه شده توسط شخصی ثالث (صرافی) است. در مقایسه با حسابهای معاملات نقدی یا اسپات، حسابهای مارجین به معاملهگران اجازه میدهد تا به مبالغ بیشتری از سرمایه دسترسی داشته باشند و تا بتوانند از آنها به عنوان اهرم برای باز کردن موقعیتهای معاملاتی (شورت یا لانگ) خود استفاده کنند. اساسا، معاملات مارجین نتایج معاملات را تقویت میکنند تا معاملهگران بتوانند در معاملات موفق خود به سودهای بیشتری دست یابند البته باید خاطر نشان کرد در صورت ضرر هم ضررها از نوع بسیار سنگین یا از بین رفتن دارایی (لیکویید شدن) خواهد بود.
سه روز پس از حمله، bZx اعلام کرد که با صرافیهای ارزهای دیجیتال برای بازیابی وجوه دزدیده شده همکاری میکند ولی این تلاشها تاکنون هیچ نتیجهای برای مالباختگان نداشته است. در همین حال، در اخبار جدیدتر، bZx و Ooki که پروتکل دیگری برای معاملات مارجین است، ظاهراً با هم ادغام شدهاند و توکن BZRX bZx به پلتفرم Ooki منتقل شده است. این حرکت احتمالاً پایان bZx به عنوان یک پروتکل مستقل خواهد بود.
شماره ۶: EASYFI / سرمایه از دست رفته ۵۹ میلیون دلار
EasyFi، یک پروتکل وامدهی مالتیچین (چند زنجیرهای) لایه ۲ است که در آوریل ۲۰۲۱ با لو رفتن کلید خصوصی کیف پول متامسک خود که توسط مدیر عامل پلتفرم، Ankitt Gaur اداره میشد، حدود ۸۰ میلیون دلار از دست داد. هکر وجوه را از کیف پول رسمی EasyFi به سرقت برد و زیان آن شامل حدود ۶ میلیون دلار از استخرهای استیبلکوین روی این پلتفرم و ۵۳ میلیون دلار در توکنهای بومی آن یعنی EASY بود.
چهار روز پس از این حادثه، EasyFi توکن EASY را از دور خارج کرد و توکن جدید EZ را برای جایگزینی آن به عنوان بخشی از هاردفورک پلتفرم معرفی کرد. هک استخرهای EasyFi شبکههای پالیگان، زنجیره هوشمند بایننس و اتریوم را تحت تاثیر قرار داد. مشابه هکهای ذکر شده در بالا، مهاجم این سرقت نیز شناسایی نشد.
شماره ۵: BADGERDAO / سرمایه از دست رفته ۱۲۰ میلیون دلار
Badger، یک پروتکل وامدهی است که روی شبکه اتریوم قرار دارد و از بیتکوین به عنوان وثیقه استفاده میکند. این پلتفرم در اوایل دسامبر ۲۰۲۱ به دلیل حملهای که رابط کاربری آن را هدف قرار داد، ۱۲۰ میلیون دلار از دست داد. این حمله سرمایه دهها کاربر را تحت تأثیر قرار داد و بعید به نظر میرسد که این داراییها به کاربران بازگردانده شوند.
Badger دارای یک بیمه نامه از شرکت بیمهای Nexus Mutual است که برخی از هکهای احتمالی را پوشش میدهد، با این حال، این بیمه نامه فقط هکهای مربوط به قرارداد هوشمند را پوشش میدهد، نه نقض رابط کاربری. Nexus Mutual عنوان کرده است که این حمله در دستهی حملههای “front-end” طبقه بندی میشود و بنابراین هیچ غرامتی به قربانیان پرداخت نخواهد شد.
شماره ۴: PAID NETWORK / سرمایه از دست رفته ۱۲۷ میلیون دلار
پلتفرم Paid Network، یک برنامه غیرمتمرکز (DApp) در اتریوم است که خدمات توافقنامههای مبتنی بر قرارداد هوشمند را برای کسبوکارها ارائه میکند. این پروژه با استفاده از یک کلید خصوصی که سرقت شده بود هک شد.
مهاجم با استفاده از این کلید، قرارداد هوشمند اصلی روی پلتفرم را با نسخه اصلاح شده جایگزین کرد و توانست توکنهای پولی موجود را بسوزاند و مقدار زیادی از توکنهای جدید را ایجاد کند. برخی از توکنهای تازه ایجاد شده قبل از شناسایی در یونیسواپ به ETH تبدیل شدند.
شماره ۳: CREAM FINANCE / سرمایه از دست رفته ۱۳۰ میلیون دلار
در اواخر اکتبر، Cream Finance، یک پروتکل وام دهی مالتیچین، با حمله وامسریع مواجه شد که حدود ۱۳۰ میلیون دلار از استخرهای نقدینگی مبتنی بر اتریوم آن به سرقت رفت. گزارشی مبنی بر اینکه آیا وجوه نگهداری شده در زنجیرههای دیگر مانند BSC، فانتوم، پالیگان و آوالانچ تحت تاثیر قرار گرفته است یا خیر منتشر نشده است.
با این حال، با توجه به اینکه در بیانیه رسمی این پلتفرم فقط به استخرهای اتریوم اشاره شده است، این احتمال وجود دارد که این حمله فقط استخرهایی را هدف قرار داده باشد که در بزرگترین زنجیره دیفای جهان نگهداری میشوند. این سومین هک مربوط به Cream Finance در سال جاری بود، زیرا تنها دو ماه قبل از هک ۱۳۰ میلیون دلاری، این پلتفرم هک شد و دارایی به ارزش ۱۹ میلیون دلاری به سرقت رفت که آن حمله نیز از نوع حمله وامسریع بود.
شماره ۲: COMPOUND FINANCE / سرمایه از دست رفته ۱۴۷ میلیون دلار
پلتفرم Compound Finance، یک پروتکل وامدهی و استقراض مبتنی بر اتریوم و یکی از بزرگترین پروژههای دیفای است که ارزش دارایی قفل شده (TVL) آن در زمان نگارش این مقاله بیش از ۷ میلیارد دلار است. در ۳۰ سپتامبر ۲۰۲۱، این پروتکل به اشتباه مبالغ هنگفتی را بصورت COMP ارز دیجیتال بومی خود به برخی از کاربرانی پرداخت کرد که تنها سطوح ناچیزی وثیقه بصورت ETH، USDC، و DAI ارائه کرده بودند. عنوان کردن اینکه نقص در قرارداد هوشمند باعث از دست رفت دارایی به ارزش ۱۴۷ میلیون دلار شده است برای بسیاری از متخصصین و کاربران مشکوک به نظر رسید.
هنوز مشخص نیست که آیا توزیع اشتباه توکنهای COMP یک حمله برنامهریزی شده بوده یا یک اشتباه توسط توسعهدهندگان پروتکل. با این حال، رابرت لشنر، مدیرعامل Compound Finance، به روشی دیگر برای بازگرداندن دارایی کاربران متوسل شد. چند ساعت پس از حادثه، او یک توییت ارسال کرد و از دریافتکنندگان وجوه خواست تا داراییهای سرقت شده را برگردانند. لشنر ۱۰ درصد از مبالغ را به عنوان پاداش برای بازگشت وعده داد و در همان توییت تهدید کرد که در صورت عدم همکاری تمام کیفپولهایی که داراییهای سرقت رفته در آن نگهداری میشود را به IRS (سرویس درآمد داخلی ایالات متحده که مربوط به دولت فدرال است) گزارش خواهد کرد. دقیقاً مشخص نیست که چه مقدار از کل مبلغ از دست رفته به لطف تحرکات آنلاین لشنر بازیابی شده است، اما باید دید این پروژه در بیانیههای آیندهی خود در مورد آن چه میگوید.
شماره ۱: POLY NETWORK / سرمایه از دست رفته ۶۱۰ میلیون دلار (بازگردانده شد)
بزرگترین هک صنعت دیفای تاکنون، در ۱۰ آگوست ۲۰۲۱ رخ داد و مربوط به یک ارائه دهنده سواپ بین شبکهای به نام Poly Network بود. مهاجم یک قرارداد هوشمند را در این پلتفرم هک کرد و در مجموع ۶۱۰ میلیون دلار به آدرسهای خود در اتریوم و زنجیره هوشمند بایننس خود منتقل کرد.
پول از هر سه شبکه مورد استفاده توسط Poly Network یعنی اتریوم، زنجیره هوشمند بایننس و پالیگان به سرقت رفت. ضرر وارده از شبکه اتریوم ۲۷۳، زنجیره هوشمند بایننس ۲۵۳ و پالیگان ۸۵ میلیون دلار گزارش شده است. Poly Network از هکر درخواست کرد تا وجوه را برگرداند. روز بعد از حادثه، در ۱۱ آگوست، هکر حدود ۲۶۰ میلیون دلار را بازگرداند و در ۱۲ آگوست، هکر در یک گفتگوی آنلاین با Poly Network شرکت کرد و خود را به عنوان “آقای کلاه سفید” معرفی کرد. یک روز بعد، این شخص به پلتفرم اطمینان داد که تمام وجوه باقیمانده را برمیگرداند و عنوان کرد که اقدامات او به دلیل نشان دادن آسیبپذیری پلتفرمهای رمزنگاری است.
تا ۲۳ آگوست، آقای کلاه سفید تمام وجوه هک شده را بازگرداند. اما این پایان ماجرا نبود و در جریان گفتگوی آنلاین Poly Network، به هکر ۵۰۰.۰۰۰ دلار پاداش همراه با مشارکت با این پلتفرم با عنوان مشاور امنیتی ارشد (CSA) پیشنهاد شد که هر دو توسط بزرگترین هکر تاریخ دیفای رد شد.
بررسیهای آماری بزرگترین حملات هکری DeFi در سال ۲۰۲۱
مبلغ ۱۰ هک برتر دیفای در سال بالغ بر ۱.۵ میلیارد دلار برآورد شده است. این رقم شامل وجوهی که به پلتفرم بازگردانده شده مانند هک Poly Network هم میشود.
همانطور که در تصویر پایین مشاهده میکنید در سال ۲۰۲۰ شاهد ۱۶ هک دیفای بودیم. اما در سال ۲۰۲۱، این حملات به ۵۵ مورد رسیده است.
میانگین میزان دارایی از دست رفته در هر حمله در سال ۲۰۲۱ نیز نسبت به رقم سال ۲۰۲۰ به میزان قابل توجهی افزایش یافته است. در حالی که در سال ۲۰۲۰، یک هک دیفای به طور متوسط منجر به ضرر ۸.۳ میلیون دلاری شده است، رقم مربوطه برای سال ۲۰۲۱ نزدیک به ۳۶ میلیون دلار است.
در سال ۲۰۲۱ شاهد افزایش گسترده هکهای دیفای در مقایسه با سال ۲۰۲۰ بودیم. در این سال، بزرگترین هک دیفای که تاکنون ثبت شده اتفاق افتاد که خوشبختانه این وجوه برگردانده شده است. با این حال، متأسفانه سایر هک و سرقتهای انجام شده، هکرهای مهربانی نداشتند و وجوه بازیابی نشدند. همه این موارد یادآوری برای هر کاربر، توسعهدهنده یا اپراتور دیفای است که مجرمان سایبری رمزارز همیشه به دنبال آسیبپذیریهای پلتفرم و ابزارهای دیفای برای سوء استفاده از آنها هستند.
- دو کاربرد شگفتانگیز بلاکچین که میتواند دنیا را تغییر دهد
- نگاهی به ۶ تئوری توطئه مطرح درباره بیتکوین و ارزهای دیجیتال
- چگونه NFT میتواند آیندهی صنعت موسیقی را از نو تعریف کند
منبع: halborn