رسانه رمزارز (ضمیمه هفتهنامه کارنگ) دارای مجوز به شماره ۸۷۷۲۰ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «کارخانه نوآوری رسانه راهکار» است. رسانه رمزارز فعالیت خود را از ۲۸ آذرماه ۱۴۰۰ شروع کرده و اکنون تاثیرگذارترین و اثربخشترین رسانه اکوسیستم بلاکچین، رمزارز و دارایی دیجیتال ایران است.
در ۳۰ جولای ۲۰۲۳ استخرهای نقدینگی کرو فایننس (Curve Finance) مورد حمله مجدد هکرها قرار گرفت. این اتفاق موجی از شوک را به بر سراسر اکوسیستم دیفای به راه انداخت. در این حمله ۶۱ میلیون دلار ارز دیجیتال از جمله ۱۳ میلیون دلار مربوط به استخر «alETH-ETH» پلتفرم Alchemix به سرقت رفت و در نهایت امروز، ششم آگوست، این هکر با پیشنهاد ۷میلیون دلار پاداش شناسایی باگ امنیتی در استخرهای کرو راضی به بازگرداندن وجوه شد. در ادامه همه ماجرای این حمله تا به امروز را بر اساس نقشه زمانی منتشرشده از سمت کوینتلگراف مرور خواهیم کرد.
اکوسیستم دیفای طی هفتهای که گذشت روزهای پرتنش و چالشبرانگیز را پشت سر گذاشت. سرقت ۶۱ میلیون دلاری هکرها از استخرهای نقدینگی کرو فایننس باعث شد تا چند مورد از پوتکلهای فعال در صنعت دیفای با خطرات جدی مواجه شوند. اگرچه طی چند روز گذشته تلاشهایی برای بازگردانی وجوه از دست رفته آغاز شده، اما این واقعیت را انکار نمیکند که دیفای دارای نفوذپذیریها و نقاط ضعفی است که هر لحظه میتواند دردسرساز شود.
هک: استخرهای کرو فایننس با بیش از ۶۱ میلیون دلار دارایی مورد حمله قرار میگیرند
چند مورد از استخرهای نقدینگی کرو فایننس در ۳۰ جولای ۲۰۲۳ با استفاده از زبان برنامه نویسی وایپر (Vyper) مورد حمله قرار گرفت. ضرر و زیان مالی این حمله بیش از ۶۱ میلیون دلار برآورد شده (هرچند که کل ضرر در ابتدای امر ۴۷ میلیون دلار برآورد شده بود). این آسیبپذیری در نسخههای ۰.۲.۱۵، ۰.۲.۱۶ و ۰.۳.۰ وایپر پیدا شده است.
این حمله چند پروتکل بزرگ و حساس دیگر دیفای را نیز تحت تاثیر قرار داده. صرافی غیرمتمرکز الیپسیس (Ellipsis) گزارش داده که تعداد کمی از استخرهای وایپر توکن بایننس (BNB) آن مورد حمله جزئی قرار گرفتهاند. استخر الاتات (alETH-ETH) شرکت الکمیکس (Alchemix) هم گزارش داده که شاهد خروج چیزی در حدود ۱۳.۶ میلیون دلاری داراییهای خود از استخر در نتیجه این حمله بوده. این در حالی بوده که از استخر پیاتات (pETH-ETH) شرکت جیپیایجی (JPEG) نیز ۱۱.۴ میلیون دلار و از استخر اسایاتات (seTH-ETH) شرکت مترونوم (Metronome) هم ۱.۶ میلیون دلار نشت رمزارز گزارش شده است.
ضمن اینکه میشل ایگوروف (Michael Egorov) مدیرعامل کرو فایننس تایید کرده که بالغ بر ۳۲ میلیون توکن کرو دائو (Curve DAO) نیز به ارزش بیش از ۲۲ میلیون دلار از استخر صرافی تخلیه شده است.
زنجیره هوشمند بایننس (BNB Smart Chain) نیز به دلیل این حملات و آسیبپذیریها قربانی یکسری کپیبرداریها شده است. چیزی در حدود ۷۳۰۰۰ دلار از رمزارزهای این زنجیره نیز در خلال هک وایپر به سرقت رفتهاند.
از زمانی که ماجرای این هک علنی شده، هکرهای کلاه سفید و کلاه سیاه تمام تلاش خود را میکنند تا با انتشار زنیجرهای آن مانع رسیدگی به آن شده و جریان بازیابی وجوه را به هر نحوی مختل کنند.
تاثیر: آسیبپذیری وایپر اکوسیستم دیفای را در معرض تستهای استرسی قرار داده و قیمت کرو (CRV) نیز به شدت کاهش یافته است
این حادثه امنیتی، اکوسیستم دیفای را یا چالش و تنش مواجه کرده و آن را در معرض تستهای امنیتی قرار داده است. بسیاری بر این باورند که این قبیل اتفاقات، که هر لحظه امکان دارد مجدداً تکرار شوند، امنیت و اعتماد لازم برای دیفای را خدشهدار میکنند و در کل، بر اکوسیستم رمزنگاری تاثیر مخرب میگذارند. به ویژه که این قبیل حوادث و تهدیدات میتوانند تمامی استخرهای نقدینگ اتریوم را مورد حمله قرار دهند و از این رو ممکن است گستره آسیبها اینبار بسیار بیشتر هم باشد.
وایپر یک زبان برنامه نویسی قراردادی است که برای ماشین مجازی اتریوم (Ethereum Virtual Machine) طراحی و پیادهسازی شده است. این زبان، یکی از پرکاربردترین زبانهای برنامهنویسی وبسه (Web۳) در نظر گرفته میشود و وجود یک اشکال کوچک در سه نسخه آن میتواند پروتکلهای مختلف دیگر دیفای را با تهدید جدی مواجه کند.
نکته جالب توجه این است که این هک، منجر به یکی از بزرگترین ارزشهای قابل استخراج ماینر (MEV) تاکنون نیز شده است. مقدار این ارزش قابل استخراج ماینر ۵۸۴.۰۵ اتریوم گزارش شده است. به گفته اریک ات (eric.eth) – توسعه دهنده – ربات متوجه یک هک ورودی در ممپول شده و در نتیجه تراکنش را دوباره ایجاد و آن را اجرا کرده است.
وی در توضیح این اتفاق میگوید «برای انجام اینکار مقدار زیادی اتریوم به تولید کننده بلوک پرداخت میکنند تا بتواند در خط مقدم باشد. رباتهای ارزش قابل استخراج ماینر (MEV) میتوانند تراکنشهای لیکوییدی در حال تعلیق را ببینند و آنها را برای خرید داراییهای لیکوئید شده با تخفیف اجرا کنند».
امروز تعدادی از بزرگترین ارزشهای قابل استخراج ماینر (MEV) در تاریخ اتریوم به ثبت رسیده:
• اسلات ۶۹۹۲۲۷۳: ۵۸۴ اتریوم
• اسلات ۶۹۹۳۳۴۲: ۳۴۵ اتریوم
• اسلات ۶,۹۹۲,۰۵۰: ۲۴۷ اتریوم
• اسلات ۶,۹۹۳,۳۴۶: ۵۱ اتریوم
- ۳۰ جولای ۲۰۲۳ – اریک ات (eric.eth)
مدیرعامل کرو فایننس، در تلاش برای پرداخت وامهای وثیقهای!
تهدیداتی که هر لحظه ممکن است در دیگر پروتکلهای دیفای ظاهر شوند، موجی از ناامنی را به اکوسیستم تحمیل کرده است. میشل ایگوروف (Michael Egorov) بنیانگذار و مدیرعامل کرو فایننس چیزی در حدود ۱۰۰ میلیون دلار وام داشت که با وثیقه ۴۷ درصدی توکن بومی کرو فایننس، یعنی توکن کرو (CRV) پشتیبانی میشد.
این در حالی است که قیمت توکن کرو پس از انتشار اخبار هک بیش از ۳۰ درصد کاهش را تجربه کرده و در اثر ترس از عدم توانایی بازپرداخت وامهای وثیقهای به بهای ۰.۴۸ دلار سقوط کرده است.
میشل ایگوروف برای جبران این کاهش قیمت و تضمین بازپرداخت بدهیهایش مجبور شده ۳۹.۲۵ میلیون توکن کرو را به چند سرمایهگذار برجسته دیفای از جمله جاستین سان (Justin Sun)، ماچی بیگ بردار (Machi Big Brother) و دی دابلیو اف لبز (DWF Labs) به مبلغ ۱۵.۸ میلیون دلار بفروشد. خریداران این رمزارز را به مبلغ ۰.۴۰ دلار در ازای هر توکن خریداری کردهاند که نسبت به قیمت روز بازار در لحظه خرید ۲۵ درصد تخفیف دارد. ضمن اینکه ایگوروف برای سبکتر شدن حجم وامهای رمزارزی خود بخشی از وامهای آوه (Aave) و فراکس فایننس (Frax Finance) را بازپرداخت کرده است.
قیمتها در صرافی متمرکز، ناجی کرو شد
قیمت توکن کرو فایننس در صرافی غیرمتمرکز (DEX) در نتیجه هک و جریانات پس از آن به شدت سقوط کرده و به زیر ۰.۵ دلار کاهش یافت. با این حال، معامله این توکن در صرافی متمرکز (CEX) روی قیمت ۰.۶ دلار باعث شد تا توکن از سقوط به قیمت صفر نجات پیدا کند.
این اتفاق، واکنش کنایهآمیز چانگ پنگ ژائو (Changpeng Zhao) مدیر عامل بزرگترین صرافی جهان یعنی بایننس را نیز برانگیخت. ژائو – که رقیب گردن کلفت میشل ایگوروف حساب میشود – با خنده گفت که در نهایت این فید قیمت صرافی متمرکز بود که پروتکل دیفای را نجات داد!
البته این فقط توکن بومی کرو فایننس نبوده که با سقوط قیمتی مواجه شده است. استیبلکوین آن کرو یواسدی (crvUSD) نیز برای مدت کوتاهی در ۳ آگوست با کاهش قیمت مواجه شد. این استیبل کوینالگوریتیم به یکباره تا ۰.۳۵ درصد سقوط کرد، تا اینکه مجدداً توانست با دلار ایالات متحده آمریکا پگ شود.
استیبلکوین کرو یواسدی (crvUSD) که اخیراً راهاندازی شده است، از یک مکانیسم خاص برای حفظ پگ خود به دلار ایالات متحده آمریکا استفاده میکند که الگوریتم پگ کیپر (PegKeeper) نام دارد. این الگوریتم تضمین میکند که ارزش استیبلکوین به درستی توسط وثیقه پشتیبانی شده و در عین حال عرضه و تقاضا را نیز متعادل میکند.
جامعه دیفای در کنار کرو فایننس ایستادهاند: ۵.۴ میلیون دلار از مبلغ به سرقت رفته بازیابی شد
در خلال این بحران عظیم، جامعه دیفای در کنار کرو فایننس ایستادهاند. یکی از هکرهای کلاه سفید در ۳۱ جولای موفق شد چیزی در حدود ۲۸۷۹ اتر به ارزش حدود ۵.۴ میلیون دلار را از یکی از بهرهبرداران بازیابی کند. وی این اتر تعداد اتر را به کرو فایننس برگرداند. ساعاتی بعد نیز یکی دیگر از هکرهای کلاه سفید توانست حدود ۳۰۰۰ اتریوم را ضبط کرده و به آدرس توسعه دهنده کرو برگرداند.
در خلال ترسی که از لیکوئید شدن وامهای میشل ایگوروف وجود دارد، جون دو (Jun Du)، از هم بنیانگذاران هیوبی (Huobi) نیز اقدام به خرید ۱۰ میلیون توکن کرو فایننس به ارز ۴ میلیون دلار – ۰.۴ دلار به ازای هر توکن کرو – کرده است. علاوه بر آن، مارک زلر (Marc Zeller) مدیرعامل شرکت آوه چان (Aave Chan) نیز پیشنهاد خرید توکن کرو به ارزش ۲ میلیون دلار را به میشل ایگوروف ارائه کرده است.
این پیشنهادها و خریدها نشان میدهند که اینبار، جامعه دیفای پشت کرو و میشل ایگوروف را خالی نکردهاند و در کنار وی ایستادهاند تا از این بحران عبور کند.
نظرتان درباره کرو یواسدی (crvUSD) چیست؟ قیمت آن چطور به رویدادهای اخیر واکنش نشون میدهد؟ آیا کاهش پیدا میکند؟
رویدادهای اخیر به نوعی شبیه وضعیت سیلیکون ولی (SVB/USDC) بود. با این حال کرو یواسدی فقط ۰.۳۵ درصد سقوط کرد و اکنون هم تنها ۰.۱ درصد با حالت پگ خود فاصله دارد.
- ۳ آگوست ۲۰۲۳ – کرو فایننس (Curve Finance)
پلتفرم وامدهی کراس چین آبراکادابرا مانی (Abracadabra Money) هم برای مدیریت ریسک، پیشنهاد کرده نرخ بهره وامهای به تعویق افتاده را افزایش دهد.
بازگشت وجوه: هر هکری که بتواند وجوه را بازگرداند، ۱۰ درصد پاداش از کرو، مترونوم و الکمیکس دریافت میکند!
در ۳ آگوست سه شرکت کرو فایننس، مترونوم (Metronome) و الکمیکس (Alchemix) که در معرض این هک قرار گرفتهاند طی یک جریان ابتکاری اعلام کردند که هر هکری بتواند وجوه به سرقت رفته را بازگرداند، ۱۰ درصد از وجوه ضبط شده را به هکر باز خواهند گرداند. این طرح تشویقی ابتکاری برای این منظور مطرح شده که در صورت امکان، هکرهای کلاه سفید – یا حتی کلاه سیاه – ترغیب شوند تا وجود به سرقت رفته را به استخر نقدینگی کرو باز گردانند.
آنها حتی از مسئولین این سرقت نیز خواستهاند تا در این ابتکار عمل شرکت کرده و با بازگردانی ۹۰ درصد وجوه، حدود ۷ میلیون دلار ناقابل را بدون دردسر و پیگیری غیره برای خودشان نگه دارند!
این پیشنهاد با تضمین عدم اقدام قانونی یا هرگونه دخالت مجریان قانون ارائه شده است. سه پروتکل موردنظر طی بیانیهای جالب برای هکرها نوشتند: «ما میخواهیم این موضوع را به شیوهای متمدنانه حل کنیم»!!
در عرض کمتر از ۲۴ ساعت، ظاهراً پیشنهاد کرو و رفقا به مذاق سارق و هکر خوش آمد! در ۴ آگوست، مهاجم اصلی پیشنهاد جایزه ۱۰ درصدی را پذیرفت و شروع به عودت وجوه یه سرقت رفته چند روز قبل کرد. هکر ابتدا تعداد ۴,۸۲۰.۵۵ اتریوم به الکمیکس عودت داد که چیزی در حدود ۸,۸۸۹,۱۱۸ دلار ارزش داشت. تعداد ۱,۸۴۴ اتر نیز به کرو فایننس عودت داده شد و ساعاتی بعد در ۵ آگوست نیز انتقال کلیه وجوه دزدیده شده به کرو و الکمیسکس و جیپیایجی تکمیل شد.
گزارشها حاکی از آن است که مهاجم یک پیام نیز برای شرکتهای کرو و الکمیسک ارسال کرده، با این مضمون که وجوه دزدیده شده را عودت میدهد، نه به این خاطر که ممکن است دستگیر شود یا از چیزی میترسد! صرفاً به اینخاطر که نمیخواهد شاهد ویرانی پروژههای درگیر باشد!