همه داستان حمله به کرو فایننس تا به این‌جا / از سرقت 61 میلیون دلاری تا بازگرداندن وجوه توسط هکر

در ۳۰ جولای ۲۰۲۳ استخرهای نقدینگی کرو فایننس (Curve Finance) مورد حمله مجدد هکرها قرار گرفت. این اتفاق موجی از شوک را به بر سراسر اکوسیستم دیفای به راه انداخت. در این حمله ۶۱ میلیون دلار ارز دیجیتال از جمله ۱۳ میلیون دلار مربوط به استخر «alETH-ETH» پلتفرم Alchemix به سرقت رفت و در نهایت امروز، ششم آگوست، این هکر با پیشنهاد ۷میلیون دلار پاداش شناسایی باگ امنیتی در استخرهای کرو راضی به بازگرداندن وجوه شد. در ادامه همه ماجرای این حمله تا به امروز را بر اساس نقشه زمانی منتشرشده از سمت کوین‌تلگراف مرور خواهیم کرد.

اکوسیستم دیفای طی هفته‌ای که گذشت روزهای پرتنش و چالش‌برانگیز را پشت سر گذاشت. سرقت ۶۱ میلیون دلاری هکرها از استخرهای نقدینگی کرو فایننس باعث شد تا چند مورد از پوتکل‌های فعال در صنعت دیفای با خطرات جدی مواجه شوند. اگرچه طی چند روز گذشته تلاش‌هایی برای بازگردانی وجوه از دست رفته آغاز شده، اما این واقعیت را انکار نمی‌کند که دیفای دارای نفوذ‌پذیری‌ها و نقاط ضعفی است که هر لحظه می‌تواند دردسرساز شود.

هک: استخرهای کرو فایننس با بیش از ۶۱ میلیون دلار دارایی مورد حمله قرار می‌گیرند

چند مورد از استخرهای نقدینگی کرو فایننس در ۳۰ جولای ۲۰۲۳ با استفاده از زبان برنامه نویسی وایپر (Vyper) مورد حمله قرار گرفت. ضرر و زیان مالی این حمله بیش از ۶۱ میلیون دلار برآورد شده (هرچند که کل ضرر در ابتدای امر ۴۷ میلیون دلار برآورد شده بود). این آسیب‌پذیری در نسخه‌های ۰.۲.۱۵، ۰.۲.۱۶ و ۰.۳.۰ وایپر پیدا شده است.

این حمله چند پروتکل بزرگ و حساس دیگر دیفای را نیز تحت تاثیر قرار داده. صرافی غیرمتمرکز الیپسیس (Ellipsis) گزارش داده که تعداد کمی از استخرهای وایپر توکن بایننس (BNB) آن مورد حمله‌ جزئی قرار گرفته‌اند. استخر ال‌ات‌ات (alETH-ETH) شرکت الکمیکس (Alchemix) هم گزارش داده که شاهد خروج چیزی در حدود ۱۳.۶ میلیون دلاری دارایی‌های خود از استخر در نتیجه این حمله بوده. این در حالی بوده که از استخر پی‌ات‌ات (pETH-ETH) شرکت جی‌پی‌ای‌جی (JPEG) نیز ۱۱.۴ میلیون دلار و از استخر اس‌ای‌ات‌ات (seTH-ETH) شرکت مترونوم (Metronome) هم ۱.۶ میلیون دلار نشت رمزارز گزارش شده است.

ضمن این‌که میشل ایگوروف (Michael Egorov) مدیرعامل کرو فایننس تایید کرده که بالغ بر ۳۲ میلیون توکن کرو دائو (Curve DAO) نیز به ارزش بیش از ۲۲ میلیون دلار از استخر صرافی تخلیه شده است.

زنجیره هوشمند بایننس (BNB Smart Chain) نیز به دلیل این حملات و آسیب‌پذیری‌ها قربانی یک‌سری کپی‌برداری‌ها شده است. چیزی در حدود ۷۳۰۰۰ دلار از رمزارزهای این زنجیره نیز در خلال هک وایپر به سرقت رفته‌اند.

میشل ایگوروف (Michael Egorov) مدیرعامل کرو فایننس تایید کرده که بالغ بر ۳۲ میلیون توکن کرو دائو (Curve DAO) نیز به ارزش بیش از ۲۲ میلیون دلار از استخر صرافی تخلیه شده است.

از زمانی که ماجرای این هک علنی شده، هکرهای کلاه سفید و کلاه سیاه تمام تلاش خود را می‌کنند تا با انتشار زنیجره‌ای آن مانع رسیدگی به آن شده و جریان بازیابی وجوه را به هر نحوی مختل کنند.

تاثیر: آسیب‌پذیری وایپر اکوسیستم دیفای را در معرض تست‌های استرسی قرار داده و قیمت کرو (CRV) نیز به شدت کاهش یافته است

این حادثه امنیتی، اکوسیستم دیفای را یا چالش و تنش مواجه کرده و آن را در معرض تست‌های امنیتی قرار داده است. بسیاری بر این باورند که این قبیل اتفاقات، که هر لحظه امکان دارد مجدداً تکرار شوند، امنیت و اعتماد لازم برای دیفای را خدشه‌دار می‌کنند و در کل، بر اکوسیستم رمزنگاری تاثیر مخرب می‌گذارند. به ویژه که این قبیل حوادث و تهدیدات می‌توانند تمامی استخرهای نقدینگ اتریوم را مورد حمله قرار دهند و از این رو ممکن است گستره آسیب‌ها این‌بار بسیار بیشتر هم باشد.

وایپر یک زبان برنامه نویسی قراردادی است که برای ماشین مجازی اتریوم (Ethereum Virtual Machine) طراحی و پیاده‌سازی شده است. این زبان، یکی از پرکاربردترین زبان‌های برنامه‌نویسی وب‌سه (Web۳) در نظر گرفته می‌شود و وجود یک اشکال کوچک در سه نسخه آن می‌تواند پروتکل‌های مختلف دیگر دیفای را با تهدید جدی مواجه کند.

نکته جالب توجه این است که این هک، منجر به یکی از بزرگ‌ترین ارزش‌های قابل استخراج ماینر (MEV) تاکنون نیز شده است. مقدار این ارزش قابل استخراج ماینر ۵۸۴.۰۵ اتریوم گزارش شده است. به گفته اریک ات (eric.eth) – توسعه دهنده – ربات متوجه یک هک ورودی در ممپول شده و در نتیجه تراکنش را دوباره ایجاد و آن را اجرا کرده است.

وی در توضیح این اتفاق می‌گوید «برای انجام این‌کار مقدار زیادی اتریوم به تولید کننده بلوک پرداخت می‌کنند تا بتواند در خط مقدم باشد. ربات‌های ارزش قابل استخراج ماینر (MEV) می‌توانند تراکنش‌های لیکوییدی در حال تعلیق را ببینند و آن‌ها را برای خرید دارایی‌های لیکوئید شده با تخفیف اجرا کنند».

امروز تعدادی از بزرگ‌ترین ارزش‌های قابل استخراج ماینر (MEV) در تاریخ اتریوم به ثبت رسیده:
• اسلات ۶۹۹۲۲۷۳: ۵۸۴ اتریوم
• اسلات ۶۹۹۳۳۴۲: ۳۴۵ اتریوم
• اسلات ۶,۹۹۲,۰۵۰: ۲۴۷ اتریوم
• اسلات ۶,۹۹۳,۳۴۶: ۵۱ اتریوم

۳۰ جولای ۲۰۲۳ – اریک ات (eric.eth)

مدیرعامل کرو فایننس، در تلاش برای پرداخت وام‌های وثیقه‌ای!

تهدیداتی که هر لحظه ممکن است در دیگر پروتکل‌های دیفای ظاهر شوند، موجی از ناامنی را به اکوسیستم تحمیل کرده است. میشل ایگوروف (Michael Egorov) بنیان‌گذار و مدیرعامل کرو فایننس چیزی در حدود ۱۰۰ میلیون دلار وام داشت که با وثیقه ۴۷ درصدی توکن بومی کرو فایننس، یعنی توکن کرو (CRV) پشتیبانی می‌شد.

این در حالی است که قیمت توکن کرو پس از انتشار اخبار هک بیش از ۳۰ درصد کاهش را تجربه کرده و در اثر ترس از عدم توانایی بازپرداخت وام‌های وثیقه‌ای به بهای ۰.۴۸ دلار سقوط کرده است.

میشل ایگوروف برای جبران این کاهش قیمت و تضمین بازپرداخت بدهی‌هایش مجبور شده ۳۹.۲۵ میلیون توکن کرو را به چند سرمایه‌گذار برجسته دیفای از جمله جاستین سان (Justin Sun)، ماچی بیگ بردار (Machi Big Brother)‌ و دی دابلیو اف لبز (DWF Labs) به مبلغ ۱۵.۸ میلیون دلار بفروشد. خریداران این رمزارز را به مبلغ ۰.۴۰ دلار در ازای هر توکن خریداری کرده‌اند که نسبت به قیمت روز بازار در لحظه خرید ۲۵ درصد تخفیف دارد. ضمن این‌که ایگوروف برای سبک‌تر شدن حجم وام‌های رمزارزی خود بخشی از وام‌های آوه (Aave) و فراکس فایننس (Frax Finance) را بازپرداخت کرده است.

قیمت‌ها در صرافی متمرکز، ناجی کرو شد

قیمت توکن کرو فایننس در صرافی غیرمتمرکز (DEX) در نتیجه هک و جریانات پس از آن به شدت سقوط کرده و به زیر ۰.۵ دلار کاهش یافت. با این حال، معامله این توکن در صرافی متمرکز (CEX) روی قیمت ۰.۶ دلار باعث شد تا توکن از سقوط به قیمت صفر نجات پیدا کند.

این اتفاق، واکنش کنایه‌آمیز چانگ پنگ ژائو (Changpeng Zhao) مدیر عامل بزرگ‌ترین صرافی جهان یعنی بایننس را نیز برانگیخت. ژائو – که رقیب گردن کلفت میشل ایگوروف حساب می‌شود – با خنده گفت که در نهایت این فید قیمت صرافی متمرکز بود که پروتکل دیفای را نجات داد!

البته این فقط توکن بومی کرو فایننس نبوده که با سقوط قیمتی مواجه شده است. استیبل‌کوین آن کرو‌ یو‌اس‌دی (crvUSD) نیز برای مدت کوتاهی در ۳ آگوست با کاهش قیمت مواجه شد. این استیبل کوین‌الگوریتیم به یک‌باره تا ۰.۳۵ درصد سقوط کرد، تا این‌که مجدداً توانست با دلار ایالات متحده آمریکا پگ شود.

استیبل‌کوین کرو‌ یو‌اس‌دی (crvUSD) که اخیراً راه‌اندازی شده است، از یک مکانیسم خاص برای حفظ پگ خود به دلار ایالات متحده آمریکا استفاده می‌کند که الگوریتم پگ کیپر (PegKeeper) نام دارد. این الگوریتم تضمین می‌کند که ارزش استیبل‌کوین به درستی توسط وثیقه پشتیبانی شده و در عین حال عرضه و تقاضا را نیز متعادل می‌کند.

جامعه دیفای در کنار کرو فایننس ایستاده‌اند: ۵.۴ میلیون دلار از مبلغ به سرقت رفته بازیابی شد

در خلال این بحران عظیم، جامعه دیفای در کنار کرو فایننس ایستاده‌اند. یکی از هکرهای کلاه سفید در ۳۱ جولای موفق شد چیزی در حدود ۲۸۷۹ اتر به ارزش حدود ۵.۴ میلیون دلار را از یکی از بهره‌برداران بازیابی کند. وی این اتر تعداد اتر را به کرو فایننس برگرداند. ساعاتی بعد نیز یکی دیگر از هکرهای کلاه سفید توانست حدود ۳۰۰۰ اتریوم را ضبط کرده و به آدرس توسعه دهنده کرو برگرداند.

در خلال ترسی که از لیکوئید شدن وام‌های میشل ایگوروف وجود دارد، جون دو (Jun Du)، از هم بنیان‌گذاران هیوبی (Huobi) نیز اقدام به خرید ۱۰ میلیون توکن کرو فایننس به ارز ۴ میلیون دلار – ۰.۴ دلار به ازای هر توکن کرو – کرده است. علاوه بر آن، مارک زلر (Marc Zeller) مدیرعامل شرکت آوه چان (Aave Chan) نیز پیشنهاد خرید توکن‌ کرو به ارزش ۲ میلیون دلار را به میشل ایگوروف ارائه کرده است.

این پیشنهادها و خریدها نشان می‌دهند که این‌بار، جامعه دیفای پشت کرو و میشل ایگوروف را خالی نکرده‌اند و در کنار وی ایستاده‌اند تا از این بحران عبور کند.

نظرتان درباره کرو یو‌اس‌دی (crvUSD) چیست؟ قیمت آن چطور به رویدادهای اخیر واکنش نشون می‌دهد؟ آیا کاهش پیدا می‌کند؟
رویدادهای اخیر به نوعی شبیه وضعیت سیلیکون ولی (SVB/USDC) بود. با این حال کرو یواس‌دی فقط ۰.۳۵ درصد سقوط کرد و اکنون هم تنها ۰.۱ درصد با حالت پگ خود فاصله دارد.

۳ آگوست ۲۰۲۳ – کرو فایننس (Curve Finance)

پلتفرم وام‌دهی کراس چین آبراکادابرا مانی (Abracadabra Money) هم برای مدیریت ریسک، پیشنهاد کرده نرخ بهره وام‌های به تعویق افتاده را افزایش دهد.

بازگشت وجوه: هر هکری که بتواند وجوه را بازگرداند، ۱۰ درصد پاداش از کرو، مترونوم و الکمیکس دریافت می‌کند!

در ۳ آگوست سه شرکت کرو فایننس، مترونوم (Metronome) و الکمیکس (Alchemix) که در معرض این هک قرار گرفته‌اند طی یک جریان ابتکاری اعلام کردند که هر هکری بتواند وجوه به سرقت رفته را بازگرداند، ۱۰ درصد از وجوه ضبط شده را به هکر باز خواهند گرداند. این طرح تشویقی ابتکاری برای این منظور مطرح شده که در صورت امکان، هکرهای کلاه سفید – یا حتی کلاه سیاه – ترغیب شوند تا وجود به سرقت رفته را به استخر نقدینگی کرو باز گردانند.

آن‌ها حتی از مسئولین این سرقت نیز خواسته‌اند تا در این ابتکار عمل شرکت کرده و با بازگردانی ۹۰ درصد وجوه، حدود ۷ میلیون دلار ناقابل را بدون دردسر و پیگیری غیره برای خودشان نگه دارند!

این پیشنهاد با تضمین عدم اقدام قانونی یا هرگونه دخالت مجریان قانون ارائه شده است. سه پروتکل موردنظر طی بیانیه‌ای جالب برای هکرها نوشتند: «ما می‌خواهیم این موضوع را به شیوه‌ای متمدنانه حل کنیم»!!

در عرض کمتر از ۲۴ ساعت، ظاهراً پیشنهاد کرو و رفقا به مذاق سارق و هکر خوش آمد! در ۴ آگوست، مهاجم اصلی پیشنهاد جایزه ۱۰ درصدی را پذیرفت و شروع به عودت وجوه یه سرقت رفته چند روز قبل کرد. هکر ابتدا تعداد ۴,۸۲۰.۵۵ اتریوم به الکمیکس عودت داد که چیزی در حدود ۸,۸۸۹,۱۱۸ دلار ارزش داشت. تعداد ۱,۸۴۴ اتر نیز به کرو فایننس عودت داده شد و ساعاتی بعد در ۵ آگوست نیز انتقال کلیه وجوه دزدیده شده به کرو و الکمیسکس و جی‌پی‌ای‌جی تکمیل شد.

گزارش‌ها حاکی از آن است که مهاجم یک پیام نیز برای شرکت‌های کرو و الکمیسک ارسال کرده، با این مضمون که وجوه دزدیده شده را عودت می‌دهد، نه به این خاطر که ممکن است دستگیر شود یا از چیزی می‌ترسد! صرفاً به این‌خاطر که نمی‌خواهد شاهد ویرانی پروژه‌های درگیر باشد!

لینک کوتاه: https://ramzarzmedia.com/bwyk

منبع کوین‌تلگراف

دیفای هک وام‌ کریپتویی