6 برجسته ترین شوک اکسپلویت در نیمه اول سال 2021

خلاصه ای از 6 مورد قابل توجه ترین اکسپلویت (هک) در نیمه اول سال 2021 و لیست کل آسیب ها و راه حل های پروژه.

سلام بچه ها.

امروز می‌خواهم مقاله‌ای را با شما به اشتراک بگذارم که خلاصه‌ای از پرطرفدارترین اکسپلویت‌ها (هک‌ها) در نیمه اول سال ۲۰۲۱ است. در عین حال، فهرست پروژه‌هایی که توسط هکرها هک شده‌اند، مجموع آسیب‌های حادثه و راه‌حل آن‌ها. برای جزئیات بیشتر به مقاله زیر مراجعه فرمایید.

مروری بر اکسپلویت 

اکسپلویت اصطلاحی است که برای صحبت در مورد حمله یک فرد یا گروهی از افراد (به صورت ناشناس) که عمداً برای سوء استفاده و سود وارد یک باگ یا حفره امنیتی می‌شوند، استفاده می‌شود. این اصطلاح هم برای رمزارز و هم برای غیرکریپتو صدق می کند.

حملات معمولا در سیستم عامل های شبکه، Dapps یا هر کد نرم افزاری رخ می دهد. در برخی موارد، بسیاری از هکرها داده‌های موجود در سیستم مانند اطلاعات کاربران، دارایی‌های سرمایه‌گذاری، ... را به سرقت می‌برند یا ویروس‌ها را به نرم‌افزار می‌ریزند تا گره‌های مرتبط را از بین ببرند.

طبقه بندی اکسپلویت مشترک

اکسپلویت در صنعت الکترونیک به خوبی شناخته شده است و همچنین انواع مختلفی از اکسپلویت وجود دارد که برای درک بهتر، من به شرح زیر طبقه بندی می کنم:

• Remote Exploit : فرآیند بهره برداری از اشکالات در سیستم امنیتی اصلی از راه دور در رایانه/شبکه ​​دیگری.
• لوکال اکسپلویت : نوعی بهره برداری از اشکالات موجود در سیستم امنیتی مستقیماً روی سیستم اصلی و ارتقاء تدریجی مجوزهای آن، شکستن رمزهای عبور، سوء استفاده از داده های دیگران و...
• نوع دیگری از سوء استفاده وجود دارد که به دسترسی مدیر (Administrative Level Access / root) نفوذ می کند و از آنجا اقداماتی را برای منفعت شخصی انجام می دهد.

در Crypto بهره برداری کنید

در Crypto، Exploit برای حملات به آسیب‌پذیری‌ها در قراردادهای هوشمند یا نقص‌های امنیتی که معمولاً کشف می‌شوند مانند وب‌سایت، Dapps، IoT، API، UI-UX و... شناخته می‌شود.

اغلب نرم‌افزاری که به‌تازگی برنامه‌ریزی شده است ممکن است در حین اجرا خطا داشته باشد، این حفره‌های امنیتی اغلب در تنظیمات، برنامه‌ها (Dapps)، Shrink wrap Code و Operating System ظاهر می‌شوند.

آسیب پذیری های فنی اغلب توسط هکرها متوجه می شوند

شناسایی حملات هکرها تا زمانی که عواقب آن رخ ندهد، اغلب دشوار است، بنابراین پروژه‌های بلاک چین هنگام راه‌اندازی یک محصول جدید اغلب رویدادهای Testnets، Devnets و Bug Bounty را برگزار می‌کنند.

Bug Bounty یک برنامه امنیتی است که اغلب توسط پروژه ها برای Dapps خود اعمال می شود، تا حدی برای بررسی تجربه کاربر، بخش دیگر شناسایی حفره های امنیتی (اشکالات) در محصولات آنها است. 

Bug Bounty به جای اینکه توسط هکرها مورد حمله قرار گیرد و هزاران میلیون دلار از دست بدهد، همراه با بسیاری از مسائل حقوقی دیگر، خطرات احتمالی در آینده را تا حدودی محدود می کند. 

6 مورد برجسته اکسپلویت در سال 2021

شبکه پلی

Poly Network شبکه ای است که برای تعامل چند زنجیره ای مستقر شده و زیرساخت اینترنت نسل بعدی را ایجاد می کند. بلاک چین ها می توانند از طریق یک شبکه باز و مکانیزم پذیرش شفاف (شفافیت) در دسترسی به اطلاعات، اعتماد و ثبات به شبکه پلی متصل شوند. 

علاوه بر این، Poly Network بسیاری از بلاک چین‌های دیگر را نیز به هم متصل می‌کند و پلتفرم‌های بسیاری مانند بیت‌کوین، اتریوم، نئو، آنتولوژی، الروند، زیلیکوا، زنجیره هوشمند بایننس، سویچئو و زنجیره اکو هوبی را ادغام کرده است. تا کنون، پلی نتورک نشانه ای در مکانیسم حاکمیتی خود نداشته است.

دلیل قرار گرفتن Poly Network در این 6 رتبه برتر این است که اخیراً در 10 آگوست، توییتر Poly Network تأیید کرد که آنها متحمل یک حمله زنجیره ای متقابل شده اند و هزینه این حادثه 611 میلیون دلار برآورد شده است. به طور خاص، خسارات عبارتند از:

• ۲۷۳ میلیون دلار در اتریوم.
• 253 میلیون دلار در BSC.
• 85 میلیون دلار در Polygon.

علاوه بر این، O3 Swap - پلتفرم ساخته شده در Poly Network نیز تا حدی تحت تأثیر قرار گرفته است، هنوز اطلاعات دقیقی برای این مورد وجود ندارد.

اگرچه Poly Network توسط Certik ممیزی می شود ، اما وقوع موارد غیرمنتظره مانند موارد فوق اجتناب ناپذیر است. این پروژه در حال حاضر در حال بررسی پرونده است، به محض اطلاعیه جدید از شبکه پلی، اطلاعات مشخص به روز می شود.

آزمایشگاه مالی آلفا

Alpha Finance Lab یک پلتفرم زنجیره‌ای متقاطع DeFi است که بر روی اکوسیستم زنجیره هوشمند بایننس، شامل محصولات و خدمات وام‌دهی و قرض‌گیری ساخته شده و از کاربران در بسیاری از بلاک‌چین‌های مختلف پشتیبانی می‌کند. 

ALPHA نماد بومی این پروژه است که به حاکمیت در سیستم خدمت می کند، از استخراج نقدینگی در وام یا استقراض پشتیبانی می کند، همچنین می توانید برای کسب سود از ALPHA سهامداری کنید. 

دلیل قرار گرفتن Alpha Finance در 6 مورد برتر Exploit به این دلیل است که کل خسارت پس از حمله بسیار زیاد است و تا 37.5 میلیون دلار می رسد.

خلاصه وقایع

در صبح روز 13 فوریه 2021، یک هکر به پروتکل Alpha Homora V2 حمله کرد و معاملات وام پس از آن برای بررسی متوقف شد. گفته می شود این حمله بسیار پیچیده است زیرا هکر قبل از محروم کردن مبلغ فوق اقدامات زیادی انجام داده است، به ویژه:

• هکر یک آدرس مجازی ایجاد کرد، ETH را با UNI تعویض کرد و LP را برای جفت ETH + UNI در Uniswap اضافه کرد (برای دریافت توکن های LP). در همان تراکنش، او ETH را به sUSD مبادله کرد و sUSD را به بانک آهن خام واریز کرد.
• در Alpha Homora V2، هکرها sUSD و Aave را برای افزایش دارایی cySUSD قرض گرفتند. از آنجا، هکر 13244 دلار دیگر ETH را قرض گرفت. 4,263,139 دلار DAI; $3,997,921 USDC و $5,647,242 USDT.
• سپس مقداری را به Aave، 1000 ETH به Iron Bank و Alpha Homora V2، 320 ETH را به Tornado.cash واریز کنید.
• در کیف پول شخصی هکر پس از تراکنش 10925 ETH (معادل 20 میلیون دلار) باقی مانده است.

آسیب پذیری های حاصل از این حادثه توسط Alpha Finance Lab، Andre Cronje و Cream Finance مورد بررسی و تحقیق قرار گرفته است که شامل 9 تراکنش، 4 عملیات مختلف در این هک می شود. می توان دید که بازار DeFi هنوز کاملاً جدید است و خطرات بالقوه زیادی وجود دارد. 

نتیجه

علاوه بر نتیجه هک شدن، از دست دادن 37.5 میلیون دلار، آزمایشگاه فاینانس آلفا پس از اعلام پروژه با افت شدید قیمت توکن ALPHA نیز مواجه شد که در زمان اعلام نزدیک به 22 درصد و کل در ماه فوریه کاهش یافته است. 39.22 درصد.

سرمایه راری 

Rari Capital (RGT) به عنوان یک پروتکل خودکار کشاورزی در پلتفرم بلاک چین اتریوم شناخته می شود که به جذب نقدینگی در DeFi Space مانند Compound، dYdX، yEarn و... علاوه بر این، هدف Rari Capital ایجاد آن است. یک محیط کشاورزی کارآمد برای کاربران

RGT از زمان راه‌اندازی تا کنون رشد قیمت فوق‌العاده‌ای را از 0.2 دلار (5 نوامبر 2020) - 27.37 دلار ATH (15 آوریل 2021) تجربه کرده است. طعمه" برای هکرها.

خلاصه وقایع

در 8 می، Rari Capital مجبور شد گزارش دهد که یک هکر به سیستم نفوذ کرده و 2600 ETH را تخلیه کرده است، که 60٪ (تخمین زده شده 10،000،000 دلار) از کل سرمایه کاربر در آن زمان را از دست داده است. ماجرا را به اختصار به شرح زیر بیان می کنم:

• هکرها توکن های جعلی ایجاد کرده و آنها را در SushiSwap ترکیب کردند.
• سپس آنها از آسیب پذیری ویژگی های Alpha Finance استفاده کردند و به Alpaca Homora دسترسی پیدا کردند تا ibETH را از قرارداد استخر Rari ETH دریافت کنند.
• در نهایت، هکر ibETH را در استخر Rari ETH به ETH تبدیل کرد.

نتیجه

منبع تصویر: Rekt Capital

قیمت RGT پس از حمله بیش از 40 درصد کاهش یافت. شایان ذکر است که اگرچه این توکن توسط Quantstamp ممیزی شده بود ، اما این آسیب پذیری نادیده گرفته شد و ضرر سنگینی را برای Rari Capital به همراه داشت. همانطور که می دانم راری مجبور شد 2 میلیون RGT کم کند تا بعداً به کاربران خسارت بدهد.

Pancake Bunny Finance

اگر عاشق کشاورزی هستید، مطمئنا Pancake Bunny (BUNNY) نام عجیبی نیست، این یک ابزار جمع‌آوری سود و بهینه‌سازی کشاورزی در زنجیره هوشمند Binance است. مشابه با Yearn Finance در اتریوم، Pancake Bunny Finance از پنکیک به عنوان پلتفرم اصلی Yield Farming استفاده می کند. 

به کاربران امکان می‌دهد کیک بخرند و به استخر اضافه کنند تا سود مرکب را از کشاورزی دریافت کنند. در Pancake، پل ارتباطی بین ETH-BSC برای افزایش تعداد کاربران در پلتفرم وجود دارد. BUNNY یک نشانه بومی است که پروژه را نشان می دهد، که در مدیریت و به عنوان هزینه در PancakeSwap استفاده می شود.

خلاصه وقایع

به طور خاص، در 20 می، Pancake مجبور شد یک وام فلش حمله بهره‌بردار را گزارش کند - نوعی وام بدون وثیقه. هکرها با استفاده از حفره موجود در این ویژگی روی اپلیکیشن، موارد زیر را مورد نفوذ و حمله قرار داده اند:

• آنها از PancakeSwap برای وام گرفتن مقادیر زیادی BNB از استخرهای WBNB، از جمله هشت وام فلش مختلف (طبق گفته بانک Fortube) استفاده می کنند.
• هکرها 2.96 میلیون USDT و 7886 WBNB را به استخر واریز کردند و 144.45 هزار توکن LP را وارد کردند.
• با در دست داشتن تعداد زیادی توکن LP، آنها 6.97 میلیون جایزه BUNNY را از Vault Flip To Flip دریافت کردند و تخلیه قوی را به بازار آوردند.
• آنها با موفقیت تمام BUNNY هک شده را فروختند، آنها برای بازپرداخت BNB وام گرفته شده از وام فلش قبلی برگشتند.

نتیجه

منبع تصویر: Rekt Capital

این حادثه باعث شد که قیمت BUNNY به طور ناگهانی به 6 دلار کاهش یابد و در آن زمان TVL Pancake Bunny تنها 1 میلیارد دلار بود (تقسیم بر 10 از دوره اوج).

کل خسارت تخمین زده شده 2.4 میلیون دلار است، حتی یک ممیزی توسط Haechi نتوانست Pancake Bunny را از این حمله محافظت کند. 

THORCchain 

THORChain (RUNE) به عنوان پروژه پروتکل بلاک چین شناخته می شود که یک پروتکل پل زدن زنجیره ای می سازد که امکان اتصال و تبادل ارزش بین چند زنجیره مختلف را فراهم می کند. THORChain همچنین نقدینگی لایه 1، سوآپ فوری دارایی ها و تسویه نوسانات قیمت در Crypto را فراهم می کند. 

RUNE یک توکن بومی در پلتفرم THORChain به منظور ایجاد کارمزد تراکنش، شرط بندی/رای دادن و خدمت به عنوان پاداش برای اعتبار سنجی است.

THORChain همچنین نامی در 6 اکسپلویت برتر اخیر است، تنها در یک ماه، THORChain با 2 حمله هکری با ضرر مجموعی نزدیک به 13 میلیون دلار مواجه شده است.

خلاصه وقایع:

• پیش از این در 15 جولای، THORChain برای سرقت 2500 ETH (5 میلیون دلار تخمین زده شده) هک شد، این حمله در پروتکل Bifrost .
• و نزدیک به پایان جولای، آنها 8 میلیون دلار دیگر توسط "هکرهای کلاه سفید" به دلیل خطای مربوط به توکن ERC-777 (قرارداد ETH Router) از دست دادند.
• هکر یک روتر جعلی ساخت و اقدامات خود را روی روتر Thorchain انجام داد.

نتیجه

قیمت RUNE 25٪ کاهش یافته است. اگرچه توسط تیم معتبر Certik ممیزی شد، اما پس از خطاها و فراوانی وقوع انبوه، جامعه نگران شد و شروع به نشان دادن علائم فرار کرد. می توانید الگوی شمعدان ماه جولای را مطابق شکل زیر مشاهده کنید:

مالیه بستنی

اجازه دهید به طور خلاصه تعریف کنم، Popsicle Finance یک پلتفرم تجمیع سود چند زنجیره ای است که به ارائه نقدینگی در بسیاری از پلتفرم های مختلف کمک می کند. این پروژه با هدف کمک به کاربران در ارائه نقدینگی سریع، صرفه جویی در هزینه های گاز، پشتیبانی از بسیاری از AMM ها مانند Uniswap، SushiSwap، Pancakeswap، ساخته و توسعه یافته است. 

علاوه بر این که ICE توکن نماینده پروژه است، در حال حاضر تیم ویژگی این توکن را به روز نکرده است، به احتمال زیاد در آینده از ICE به عنوان هزینه تبدیل اصلی در پلتفرم Popsicle برای رای گیری استفاده خواهد شد.

از آنجا که این یک پروژه جدید است، اگرچه توسط Peckshield حسابرسی می شود، Popsicle Finance نمی تواند از مشکلات حفره های فنی در سیستم خود فرار کند. Peckshield از ابتدای سال تاکنون 7 اکسپلویت، قالیچه کشی و ... داشته است که رقم نگران کننده ای برای تیم Peckshield است. 

خلاصه وقایع

• این حادثه به تازگی در 4 آگوست اتفاق افتاده است، به طور خاص، هکر 3 قرارداد A، B، C ایجاد کرد و به ترتیب تکرار شد: انتقال (A) ⇒ (B) و جمع آوری هزینه ها ⇒ (C) انتقال ⇒ (A) و جمع آوری هزینه ها ( این کار را برای 8 استخر تکرار کنید).
• به بیان ساده تر، آنها پول را به قرارداد A واریز می کنند و سپس توکن های LP را به B منتقل می کنند، با تکیه بر مکانیسم جمع آوری هزینه Sorbetto برای استخراج مبلغ آن تراکنش. بعد، از B به C حرکت کنید و به همین ترتیب برای هر 8 استخر تکرار کنید.
• مشاهده می شود که این یک تکرار برنامه ریزی شده است، آنها 30 میلیون USDT، 13000 WETH، 1400 BTC، 30 میلیون DAI و 200000 UNI از Aave برای حمله به 8 استخر بالا وام می گیرند.
• در واقع، نقص در Popsicle در مقایسه با رویدادهای پروژه های بالا بسیار ساده است. علت اصلی این هک این است که هنگام انتقال توکن های LP، هزینه به درستی محاسبه نمی شود.

نتیجه 

Popsicle Finance متحمل ضرر 25 میلیون دلاری همراه با کاهش قیمت توکن های ICE پس از اعلام سقوط شد. 

نتیجه 

از ابتدای سال، 42 مورد Exploit, Rug-pull در بازار کریپتو رخ داده است. این نیز عامل مهمی در تغییرات اخیر قیمت در برخی پروژه ها است. DeFi Spaces طعمه خوبی برای هکرهای کلاه سفید است، به خصوص زمانی که بازار مانند امروز دائما در حال تغییر است.

آیا در آینده راه حلی وجود خواهد داشت، ممیزی دقیق تر و خودکارتر خواهد بود؟ فورا کانال Coin98 Insights News را دنبال کنید تا سریع ترین به روز رسانی ها را در مورد همه اخبار و رویدادهای برجسته در بازار کریپتو دریافت کنید!