11 نمونه از بزرگترین هک و دزدی DeFi

امور مالی غیرمتمرکز DeFi به برنامه‌ های بلاکچینی اطلاق می‌ شود که دست واسطه‌ ها را از محصولات و خدمات مالی مانند وام، پس‌ انداز و مبادله کوتاه می‌ کند. در حالی که DeFi با پاداش های بالایی همراه است خطرات زیادی نیز به همراه دارد.

از آنجایی که تقریباً هر کسی می تواند یک پروتکل DeFi را بچرخاند و چند قرارداد هوشمند بنویسد نقص در کد رایج است و در DeFi بسیاری از بازیگران بی‌ وجدان آماده و قادر به سوء استفاده از این نقص‌ ها هستند. وقتی این اتفاق می‌ افتد میلیون‌ ها دلار در خط تولید قرار می‌ گیرد که اغلب بدون مراجعه به کاربران است.

طبق گزارش ماه نوامبر Elliptic کاربران DeFi در سال 2021 میزان 10.5 میلیارد دلار را به دلیل سرقت از دست دادند اما این رقم از آن زمان تاکنون میلیون ها افزایش یافته است.

11. گریم فاینانس: 30 میلیون دلار

undefined

اغلب dApp ها از بلاکچین هایی که بر روی آنها ساخته شده اند الهام می گیرند. در نتیجه اکوسیستم آوالانچ مملو از منابع برفی است مانند Snowtrace، Blizz و Defrost. در همین حال اکوسیستم فانتوم مانند یک مهمانی هالووین احساس می شود. هنگامی که همه چیز اشتباه می‌ شود چرخش تیره‌ تری به آن اضافه می‌ کند همانطور که در مورد Grim Finance یک پروتکل بهینه‌ ساز بازده اتفاق افتاد.

در دسامبر 2021 پروتکل مورد حمله مجدد قرار گرفت نوعی سوء استفاده که در آن مهاجم سپرده‌ های اضافی را در یک انبار جعل می‌ کند در حالی که تراکنش قبلی هنوز تسویه نشده است. در نهایت این حمله قرارداد هوشمند را فریب داد و 30 میلیون دلار در توکن های فانتوم آزاد نمود.

پروتکل‌ های دیفای معمولاً از محافظ‌ هایی برای ورود مجدد استفاده می‌ کنند یعنی بخش‌ هایی از کد که از چنین حملاتی جلوگیری می‌ کند. گزارش حسابرسی گریم فاینانس از سالیدیتی فاینانس به اشتباه بیان می‌ کرد که پروتکل دارای محافظ‌ هایی برای ورود مجدد است و یادآور این بود که ممیزی‌ ها تضمینی برای عدم وقوع سوء استفاده‌ ها نیست.

10. Meerkat Finance: مبلغ 31 میلیون دلار

undefined

گاهی اوقات طولی نمی کشد که یک پروتکل DeFi اولین سوء استفاده خود را تجربه می کند. پروتکل وام دهی مبتنی بر زنجیره هوشمند بایننس Meerkat Finance تنها یک روز پس از راه اندازی در مارس 2021، 31 میلیون دلار از منابع مالی کاربران را از دست داد.

مهاجم تابعی را در قرارداد فراخواند که آدرس آنها را به مالک خزانه تبدیل کرد و پروژه 13.96 میلیون دلاری استیبل کوین بایننس و 73000 BNB دیگر (توکن اصلی بایننس) را تخلیه کرد. سرقت BNB در آن زمان حدود 17.4 میلیون دلار ارزش داشت.

9. وی فایننس: 35 میلیون دلار

undefined

تابستان 2021 شاهد افزایش فعالیت در آوالانچ بود که سودجویان را نیز جذب کرد تا از اکوسیستم نوپای شبکه بلاکچین بهره ببرند.

در سپتامبر 2021 تنها یک هفته پس از اینکه پلتفرم وام‌ دهی Vee Finance نقطه عطف 300 میلیون دلاری ارزش کل دارایی‌ های قفل‌ شده را جشن گرفت بزرگترین سوء استفاده در شبکه آوالانچ اتفتق افتاد.

این حمله عمدتاً به این دلیل امکان پذیر بود که ویژگی معاملات اهرمی Vee Finance به قیمت های توکن ارائه شده توسط پروتکل اصلی نقدینگی آوالانچ Pangolin متکی بود. مهاجم برای سوء استفاده از آن هفت جفت معاملاتی را در Pangolin ایجاد کرد، نقدینگی ارائه نمود و در نهایت معاملات اهرمی را روی Vee قرار داد. این کار به آنها اجازه داد تا 35 میلیون دلار ارز دیجیتال را از پروتکل خارج کنند.

8. پنکیک بانی: 45 میلیون دلار

undefined

ارز دیجیتال اغلب از مدهای کوتاه اما شدید عبور می کند. و در بهار 2021 زنجیره هوشمند بایننس داغ ترین روند DeFi بود به خصوص برای کاربران خرده فروشی به دلیل هزینه های پایین شبکه.

اما BSC همچنین میزبان کلاهبرداری ها و هک های زیادی بود که بزرگترین آنها یک سوء استفاده در ماه می 2021 بود که پروتکل یالد فارمینگ پنکیک بانی را هدف قرار داد.

یک هکر الگوریتم قیمت گذاری پنکیک بانی را از طریق یک سری هشت حمله وام فلش دستکاری کرد و قیمت توکن اصلی پروتکل BUNNY را افزایش داد. هکر 45 میلیون دلار را با خرید ارزان BUNNY به نرخ بازار و فروش آن در بالاترین قیمت های مصنوعی به دست آورد.

7. bZx :55 میلیون دلار

undefined

پروتکل وام چند زنجیره ای bZx در نوامبر 2021 پس از به خطر افتادن یک کلید خصوصی هک شد. این پروتکل در مجموع 55 میلیون دلار مستقر در زنجیره هوشمند بایننس و پالی گان را از دست داد.

اما bZx قبلاً دو بار درد مشابهی را تجربه کرده بود.

اگرچه حملات وام سریع این روزها یک تاکتیک رایج سوء استفاده از DeFi است bZx از این نظر یک OG است. در فوریه 2020 در معرض حملات وام فوری قرار گرفت که پلتفرم معاملات حاشیه ای Fulcrum آن را هدف قرار داد. هکر با 1300 اتر بسته بندی شده به ارزش 366000 دلار در آن زمان کار خود را انجام داد.

در حمله دیگری در سپتامبر 2020، bZx 30 درصد از وجوه قفل شده در خزانه های خود را از دست داد که در آن زمان 8 میلیون دلار ارزش داشت. با این حال کاربران با موقعیت‌ های حاشیه باز متحمل ضرر نشدند زیرا همانطور که پروتکل بعداً در گزارشی گفت این وجوه از صندوق بیمه bZx کسر شد.

6. بجردائو: 120 میلیون دلار

undefined

در دسامبر 2021 بیت کوین به پل دیفای بجردائو متحمل ضرر 120 میلیون دلاری شد زیرا کلاهبرداران اعضای بجردائو را به تأیید تراکنش‌ های مخرب ترغیب کردند که به آنها امکان کنترل وجوه خزانه کاربران و انتقال وجوه را می‌ داد.

شرکت امنیتی بلاکچین PeckShield به Decrypt گفت که قراردادهای پروتکل از سوء استفاده در امان هستند و فقط رابط کاربری تحت تأثیر قرار گرفته است.

5. کریم فایننس: 130 میلیون دلار

undefined

پروتکل وام دهی کریم فایننس 130 میلیون دلار در یک حمله وام فوری در اکتبر 2021 از دست داد. این سومین حمله ای بود که این پروتکل متحمل شد.

وام های فوری به شما این امکان را می دهند که وام های آنی بگیرید مشروط بر اینکه آنها را در همان معامله بازپرداخت کنید. اگرچه برای بازی های آربیتراژ مفید است اما به طور گسترده توسط بازیگران مخرب جهت سوء استفاده از آسیب پذیری ها در پروتکل های DeFi استفاده می شود. در مورد کریم فایننس هکر وام فوری توانست با گرفتن مکرر وام های فوری در آدرس های مختلف اتریوم از یک آسیب پذیری قیمت گذاری سوء استفاده کند.

کریم قبلا همه چیز را دیده بود. در آگوست 2021 یک هکر حدود 25 میلیون دلار را در یک حمله وام فوری دیگر به سرقت برد که عمدتاً توکن اصلی شبکه فلکسا یعنی AMP را هدف قرار داد. و در یک حمله وام فوری در فوریه 2021 هکرها 37.5 میلیون دلار را از استخر پروتکل خارج نمودند.

4. ولکان فرجد: 140 میلیون دلار

undefined

بازی برای کسب درآمد و یا Play to earn یکی از جدیدترین گرایش‌ ها در ارز دیجیتال است اما عاری از ترفندها و دام‌ های قدیمی نیست به‌ ویژه آنهایی که از ویژگی‌ های متمرکز بهره‌ برداری می‌ کنند. ولکان فرجد یک پلتفرم بازی برای کسب درآمد در پالیگان در دسامبر 2021 که کاربرانش 140 میلیون دلار ضرر کردند این درس را به سختی آموخت.

جیمی تامسون مدیر عامل ولکان فرجد در سخنرانی خود به جامعه گفت: البته در آینده ما از چیزی جز کیف پول های غیرمتمرکز استفاده نمی کنیم بنابراین دیگر هرگز با این مشکل مواجه نخواهیم شد.

3. کامپاند: 150 میلیون دلار

undefined

مانند بسیاری از پروتکل‌ های DeFi پروتکل وام‌ دهی کامپاند دارای یک توکن حاکمیتی به نام COMP است. این پروتکل توکن ها را در شرایط خاص بین کاربران توزیع می کند.

در اکتبر 2021 مشخص شد که کامپاند یک اشکال دارد یعنی بهترین راز در DeFi که به وام گیرندگان اجازه می دهد بیش از سهم مورد نظر خود از COMP مطالبه کنند.

این اشکال شامل دو عدد از صندوق‌ ها و یا مجموعه‌ ای از وجوه در قرارداد هوشمند بود. کاربران یک تابع خاص را در خزانه مخزن فراخوانی می کنند که یک کنترلر خزانه دیگر را دوباره پر می کند. آن صندوق به طور خودکار مقادیر زیادی COMP را در آدرس های اشتباه توزیع می کند.

پس از ارسال 80 میلیون دلار COMP به افراد اشتباه تیم عجله کرد تا یک مشکل را اصلاح کند. اما قبل از اجرای هرگونه اصلاحی پروتکل نیازمند تصویب یک پیشنهاد حکومتی بود که در 2 اکتبر ایجاد شد و سرانجام در 9 اکتبر پذیرفته شد. در حالی که انجمن بحث می کرد خزانه ها 68.8 میلیون دلار دیگر را از دست دادند.

بنیانگذار کامپاند رابرت لشنر چگونه تلاش کرد تا پول را پس بگیرد؟ با توئیت "هرکسی که COMP را به جامعه برگرداند یک گیگاچاد بیگانه است و اگر گروهی از گیگا چادهای بیگانه مرا احضار کنند ظاهر خواهم شد." تقریبا نیمی از وجوه برگشت داده شد.

2. ورمهل: 326 میلیون دلار

undefined

از آنجایی که بیشتر بلاکچین های لایه 1 با DeFi ساخته شده در بالای آنها وجود دارد تمایل بیشتری برای کاربران جهت انتقال وجه بین زنجیره ها وجود دارد. پل های زنجیره ای این نیاز را برطرف می کنند اما آسیب پذیری های جدیدی را نیز به همراه دارند. مخرب ترین حادثه زنجیره ای متقابل در ژانویه 2022 رخ داد زمانی که Wormhole یک پل محبوب 320 میلیون دلار در Wrapped Ethereum (wETH) از دست داد. WETH یک ارز دیجیتال است که با قیمت اتریوم بر اساس 1:1 مرتبط است.

هکر پای پل را روی سولانا هدف قرار داد جایی که کاربران باید ابتدا اتریوم را در یک قرارداد هوشمند قفل کنند تا مبلغی معادل آن را در Wrapped Ethereum دریافت نمایند. هکر با استخراج WETH بدون قفل کردن اتر در Wormhole راهی برای حل این مشکل پیدا کرد.

گروه بازرگانی جامپ یکی از ذینفعان توسعه Wormhole ابتکار عمل را برای پرکردن خزانه Wormhole اتریوم و کامل کردن دوباره آن در دست گرفت.

1. پلی نتورک: 611 میلیون دلار

undefined

هک پلی نتورک همچنان بزرگترین هک در رمزارزها است و نه فقط DeFi. خوشبختانه حماسه ای که در 10 آگوست 2021 آغاز شد سه روز بعد و پس از یک سری پیچ و تاب های عجیب با خوشی به پایان رسید.

هکر به سرعت 611 میلیون دلار در ارزهای دیجیتال مختلف به دست آورد که باعث شد پلی نامه ای ناامید کننده با سلام "هکر عزیز" منتشر کند.

آن تلاش ارتباطی و تلاش‌ های متعاقب آن در نهایت جواب داد. این پروتکل جایزه ای معادل نیم میلیون دلار و فرصتی را برای هکر ارائه می کرد تا مشاور ارشد امنیتی آن شود. اما در یک جلسه پرسش و پاسخ زنجیره ای هکر توضیح داد که این اکسپلویت فقط برای آموزش یک درس به پلی نتورک بوده است. آنها گفتند که بازگرداندن وجوه دزدیده شده "همیشه جزو برنامه بوده است".

شرکت امنیت رمزارز SlowMist گفت که نشانگرهای هویت مهاجم را شناسایی کرده است و این سوءاستفاده احتمالاً یک حمله برنامه ریزی شده، سازماندهی شده و آماده از مدت ها قبل است.

CompoundCompound
Compound$۶۶.۵۴۲,۰۲۲,۴۱۹ تومان
CompoundCompound
Compound$۶۶.۵۴۲,۰۲۲,۴۱۹ تومان
Vulcan Forged PYRVulcan Forged PYR
Vulcan Forged PYR$۴.۷۳۱۴۳,۷۶۴ تومان
Badger DAOBadger DAO
Badger DAO$۵.۶۸۱۷۲,۶۳۸ تومان
bZx ProtocolbZx Protocol
bZx Protocol$۰.۰۵۳۰۰۴۱,۶۱۱ تومان
Cream FinanceCream Finance
Cream Finance$۲۱.۷۳۶۶۰,۴۶۲ تومان
Pancake BunnyPancake Bunny
Pancake Bunny$۰.۰۹۱۸۹۸۲,۷۹۳.۲ تومان
Vee FinanceVee Finance
Vee Finance$۰.۰۰۰۴۸۴۰۸۱۴.۷۱ تومان
Grim FinanceGrim Finance
Grim Finance$۰.۰۰۰۴۴۲۷۱۱۳.۴۶ تومان
wormhole.financewormhole.finance
wormhole.finance$۰.۰۰۰۰۰۴۷۲۰.۱۴۳۴۵۹۸۱۳۰۱۶ تومان
:decrypt.co