۱۰ هک بزرگ پلتفرم‌های دیفای (DeFi)

سال ۲۰۲۱ شاهد هک شدن نزدیک به ۲ میلیارد دلار سرمایه در فضای کریپتوکارنسی بودیم، براساس گزارشات به دست آمده این مقدار پول را پروتکل‌های دیفای در یک سال به دلیل حملات سایبری و سایر سوء استفاده‌ها از دست داده‌اند. افزایش خیره‌کننده این رقم یعنی بیش از ۱۳۰۰ درصد نسبت به ۱۳۴ میلیون دلار در سال ۲۰۲۰، نشان از افزایش توجهات به سمت این بازار دارد. بزرگترین هک دیفای (DeFi) در سال ۲۰۲۰ یعنی ضرر ۳۴ میلیون دلاری Harvest Finance در یک حمله وام فلش، نسبت به هک‌های بزرگ دیفای در سال ۲۰۲۱ چندان به چشم نمی‌آید.

در این مقاله، ما ۱۰ هک بزرگ دیفای در سال ۲۰۲۱ از جمله بزرگ‌ترین سوءاستفاده امنیتی DeFi به ارزش بیش از ۶۰۰ میلیون دلار که به طرز شگفت‌آوری، برای همه طرف‌های درگیر به خوبی پایان یافت را مرور می‌کنیم. تمام ۱۰ هک بزرگ سال گذشته منجر به نشت سرمایه حداقل ۴۵ میلیون دلاری شدند. پس بیایید بدترین هک‌های رمز ارزی در حوزه دیفای و در سال ۲۰۲۱ را با هم بررسی کنیم.

۱. هک پنکیک بانی (PancakeBunny) – ۴۵ میلیون دلار

پنکیک بانی PancakeBunny، یک پلتفرم مدیریت عملکرد است که با شبکه‌های BSC و پالیگان کار می‌کند و در ۱۹ مه ۲۰۲۱ قربانی یک حمله وام فلش شد. مهاجم مقدار زیادی ارز BNB در پنکیک سواپ قرض گرفت، اقدام به دستکاری قیمت توکن بومی پلتفرم یعنی BUNNY در استخر BUNNY/BNB کرد و در نهایت مقدار زیادی از BUNNY را در بازار ریخت و باعث سقوط قیمت توکن شد. سپس مهاجم BNB قرض گرفته شده را در پنکیک‌سواپ پس داد. این هک بر عملیات‌های مربوط به زنجیره هوشمند بایننس BSC این پلتفرم تأثیر گذاشت و از استخرهای مبتنی بر پالیگان چشم پوشی کرد. کل این عملیات هک منجر به از دست رفتن ۴۵ میلیون دلار شد.

۲. هک اورانیوم فایننس (Uranium Finance) – ۵۰ میلیون دلار

پلتفرم Uranium Finance یک صرافی غیرمتمرکز (DEX) در شبکه هوشمند بایننس (BSC) است. در اواخر آوریل ۲۰۲۱، این پلتفرم در طول فرآیند مهاجرت رمزی خود ۵۰ میلیون دلار ضرر دید. هکر وجوهی را از پلتفرم در مجموعه‌ای از ارزهای دیجیتال، عمدتاً بصورت BNB و BUSD، و نیز بصورت USDT، BTC، ETH، DOT، ADA و U92 و رمزارز بومی اورانیوم سرقت کرد.

با توجه به ماهیت سوء استفاده، یک هک قرارداد هوشمند در مرحله ارتقاء، ادعاها در مورد ماهیت داخلی هک پس از این حادثه به صورت آنلاین منتشر شد. اورانیوم یک طرح کلی از هک را در صفحه Medium خود منتشر کرد. علیرغم درخواست از تیم امنیتی BSC برای کمک به شناسایی مهاجم یا جلوگیری از خروج وجوه از شبکه، مقدار سرقت شده از آن زمان تاکنون بازیابی نشده است.

۳. هک بِلت فایننس (Belt Finance) – ۵۰ میلیون دلار

درست یک ماه پس از حمله به Uranium Finance، یکی دیگر از DEXهای مستقر در شبکه هوشمند بایننس یعنی Belt Finance هک و منجر به ضرر ۵۰ میلیون دلاری شد. این حادثه در نتیجه یک حمله وام فلش بود. مهاجم از پلتفرم پنکیک‌سواپ برای دستکاری وام‌های فلش استفاده کرد. بیشترین آسیب به استخر BeltBUSD وارد شد؛ در حالی که ضرر کلی حدود ۵۰ میلیون دلار بود و خود هکر تقریباً ۶.۲ میلیون دلار به جیب زد.

۴. هک شبکه bZx – ۵۵ میلیون دلار

شبکه bZx، یک پروتکل غیرمتمرکز معاملات مارجین در شبکه‌های بایننس اسمارت چین و پالیگان و تازه واردی به دنیای دردناک هک‌های دیفای است؛ زیرا این پلتفرم تنها در سال ۲۰۲۰ سه بار مورد حمله سایبری قرار گرفت. bZx تا نوامبر ۲۰۲۱ بدون هیچ مشکل امنیتی عمده‌ای کار می‌کرد. در ۵ نوامبر، پروتکل زمانی که کلید خصوصی آن به خطر افتاد، هک شد و به مهاجم اجازه داد ۵۵ میلیون دلار سرقت کند. هر دو شبکه مورد استفاده توسط bZx یعنی شبکه هوشمند بایننس و پالیگان هدف هکر قرار گرفتند.

سه روز پس از حمله، bZx اعلام کرد که با صرافی‌های ارزهای دیجیتال برای بازیابی وجوه دزدیده شده همکاری می‌کند. تاکنون هیچ به روز رسانی در مورد موفقیت تلاش‌های این پلتفرم ارائه نشده است. در همین حال، در اخبار جدیدتر، bZx و Ooki، پروتکل دیگری برای معاملات مارجین، ظاهراً به یکدیگر ملحق شده‌اند و توکن BZRX به پلتفرم Ooki مهاجرت کرده است. این حرکت احتمالاً پایان bZx به عنوان یک پروتکل مستقل است.

۵. هک ایزی‌فای (EasyFi) – ۵۹ میلیون دلار

ایزی‌فای EasyFi، یک پروتکل وام‌دهی چند شبکه‌ای لایه ۲ است که در آوریل ۲۰۲۱ با به خطر افتادن کلید خصوصی کیف پول متامسک خود که توسط مدیر عامل پلتفرم، Ankitt Gaur اداره می‌شد، حدود ۸۰ میلیون دلار از دست داد. هکر وجوه را از کیف پول رسمی ایزی‌فای به سرقت برد و زیان آن شامل حدود ۶ میلیون دلار از استخرهای استیبل کوین روی این پلتفرم و ۵۳ میلیون دلار در توکن‌های بومی آن یعنی EASY بود.

چهار روز پس از این حادثه، ایزی‌فای ، توکن EASY را بازنشسته کرد و توکن جدید EZ را برای جایگزینی آن به عنوان بخشی از هارد فورک پلتفرم معرفی کرد. این هک استخرهای ایزی‌فای را که به هر سه شبکه‌ای که روی آن‌ها کار می‌کند یعنی پالیگان، بایننس اسمارت چین و اتریوم، تحت تاثیر قرار داد. مشابه هک‌های ذکر شده در بالا، مهاجم این سرقت نیز شناسایی نشد.

۶. هک بَجِر(Badger) – ۱۲۰ میلیون دلار از دست رفته

بجر Badger، یک پروتکل وام دهی است که روی شبکه اتریوم بوده و از وثیقه بیت کوین استفاده می‌کند. این پلتفرم در اوایل دسامبر ۲۰۲۱ به دلیل حمله‌ای که رابط کاربری آن را هدف قرار داد، ۱۲۰ میلیون دلار از دست داد. این حمله سرمایه چند ده کاربر را تحت تأثیر قرار داد و بعید به نظر می‌رسد که این دارایی به کاربران بازپرداخت شوند.

بجر دارای یک بیمه‌نامه از شرکت بیمه کریپتو Nexus Mutual است که برخی از هک‌های احتمالی را پوشش می‌دهد، با این حال، این بیمه نامه فقط هک‌های مربوط به قرارداد هوشمند را پوشش می‌دهد، نه نقض رابط کاربری. نکسوس قبلاً اعلام کرده است که این حمله در دسته‌ی حمله‌های “front-end” طبقه بندی می‌شود و بنابراین مجبور به پرداخت هیچ غرامتی نیست.

۷. هک  پِید نتوورک (Paid Network) – ۱۲۷ میلیون دلار

پلتفرم Paid Network، یک برنامه غیرمتمرکز (DApp) در اتریوم است که خدمات توافق‌نامه‌های مبتنی بر قرارداد هوشمند را برای کسب‌وکارها ارائه می‌کند. این پروژه با یکی از بزرگترین هک‌ها در تاریخ دیفای با استفاده از یک کلید خصوصی که قبلاً به خطر افتاده بود، ضربه خورد.

 مهاجم با استفاده از این کلید، قرارداد هوشمند اصلی روی پلتفرم را با نسخه اصلاح شده جایگزین کرد. این موضوع به آن‌ها اجازه داد تا توکن‌های پولی موجود را بسوزانند و مقدار زیادی از توکن‌های جدید را مینت کنند. برخی از توکن‌های تازه مینت شده قبل از شناسایی نقض و مسدود شدن مبادله جفت ارز PAID/ETH در یونی‌سواپ به ETH مبادله شدند.

۸. هک کریم فایننس (Cream Finance) – ۱۳۰ میلیون دلار

در اواخر اکتبر، Cream Finance، یک پروتکل وام‌دهی چند شبکه‌ای، با حمله وام فلش مواجه شد که حدود ۱۳۰ میلیون دلار از استخرهای نقدینگی مبتنی بر اتریوم آن را از بین برد. گزارش نشده که آیا وجوه نگهداری شده در زنجیره‌های دیگر مانند BSC، فانتوم، پالی‌گان و آوالانچ تحت تاثیر قرار گرفته است یا خیر.

با این حال، با توجه به اینکه در بیانیه رسمی این پلتفرم فقط به استخرهای اتریوم اشاره شده است، این احتمال وجود دارد که این حمله فقط استخرهایی را هدف قرار داده باشد که در بزرگترین زنجیره دیفای جهان نگهداری می‌شوند. این سومین هک مربوط به Cream Finance در سال جاری بود، زیرا تنها دو ماه قبل از هک ۱۳۰ میلیون دلاری، این پلتفرم با هک ۱۹ میلیون دلاری مورد حمله قرار گرفت باز هم بصورت یک حمله وام فلش بود.

۹. هک کامپوند فایننس (Compound Finance) – ۱۴۷ میلیون دلار

پلتفرم Compound Finance، یک پروتکل وام دهی و استقراض مبتنی بر اتریوم و یکی از بزرگترین پروژه‌های دیفای است که ارزش کل قفل شده (TVL) آن در زمان نگارش این مقاله بیش از ۷ میلیارد دلار است. در ۳۰ سپتامبر ۲۰۲۱، این پروتکل به اشتباه مبالغ هنگفتی را بصورت COMP ارز دیجیتال بومی خود به برخی از کاربرانی پرداخت کرد که تنها سطوح ناچیزی وثیقه بصورت ETH، USDC، و DAI ارائه کردند. اشتباه در قرارداد هوشمند پروتکل به عنوان علت نقص مشکوک بود.

هنوز مشخص نیست که آیا توزیع اشتباه توکن‌های COMP بصورت حمله برنامه ریزی شده بود یا یک اشتباه توسط توسعه دهندگان پروتکل. با این حال، رابرت لشنر، مدیرعامل کامپوند، در مورد آن خیلی فکر نکرد. چند ساعت پس از این حادثه، او به توییتر رفت و از گیرندگان وجوه خواست تا آن‌ها را برگردانند. لشنر ۱۰ درصد از مبالغ را به عنوان پاداش برای بازگشت وعده داد و در همان توییت تهدید کرد که پاسخگویان را به IRS (سرویس درآمد داخلی ایالات متحده که مربوط به دولت فدرال است) گزارش خواهد کرد. دقیقاً مشخص نیست که چه مقدار از کل مبلغ از دست رفته به لطف تحرکات آنلاین لشنر بازیابی شده است، اما باید دید این پروژه در بیانیه‌های آینده‌ی خود در مورد آن چه می‌گوید.

۱۰. هک پالی نتوورک (Poly Network) – ۶۱۰ میلیون دلار (باز پس گرفته شده)

بزرگترین هک صنعت دیفای تا کنون، در ۱۰ آگوست ۲۰۲۱ رخ داد و مربوط به یک ارائه دهنده سواپ بین شبکه‌ای به نام Poly Network بود. مهاجم یک قرارداد هوشمند را در این پلتفرم هک کرد و در مجموع ۶۱۰ میلیون دلار به آدرس ‌های خود در اتریوم و BSC انتقال داد.

پول از هر سه شبکه مورد استفاده توسط Poly Network یعنی اتریوم، شبکه هوشمند بایننس و پالی‌گان تخلیه شد. ضرر وارده از شبکه اتریوم ۲۷۳، شبکه هوشمند بایننس ۲۵۳ و پالیگان ۸۵ میلیون دلار گزارش شده است. Poly Network از هکر درخواست کرد تا وجوه را برگرداند. روز بعد از حادثه، در ۱۱ آگوست، هکر حدود ۲۶۰ میلیون دلار را پس داد. در ۱۲ آگوست، هکر در یک گفتگوی آنلاین با پالی نتوورک شرکت کرد و خود را به عنوان “آقای کلاه سفید” معرفی کرد . یک روز بعد، این شخص به پلتفرم اطمینان داد که تمام وجوه باقیمانده را برمی‌گرداند و توجیه کرد که اقدامات او نتیجه نشان دادن آسیب‌پذیری پلتفرم‌های رمزنگاری است.

تا ۲۳ آگوست، آقای کلاه سفید تمام وجوه هک شده را پس داده بود. در جریان گفتگوی عمومی آنلاین خود با Poly Network، به هکر ۵۰۰.۰۰۰ دلار همراه با مشارکت به عنوان مشاور امنیتی ارشد (CSA) این پلتفرم پیشنهاد شد. هر دوی پیشنهادات توسط عامل مرموز بزرگترین هک دیفای تاریخ رد شد.

بررسی‌ها آماری بزرگ ترین هک‌های DEFI در سال ۲۰۲۱

مبلغ ۱۰ هک برتر دیفای در سال بالغ بر ۱.۵ میلیارد دلار برآورد شده است. این رقم شامل وجوهی که به پلتفرم بازگردانده شده مانند هک Poly Network نیز است.

در حالی که در سال ۲۰۲۰ تنها شاهد ۱۶ هک دیفای بودیم، در سال ۲۰۲۱، ۵۵ مورد از این هک‌ها وجود داشت.

میانگین اندازه هک‌ها در سال ۲۰۲۱ نیز نسبت به رقم سال ۲۰۲۰ به میزان قابل توجهی افزایش یافته است. در حالی که در سال ۲۰۲۰، یک هک دیفای به طور متوسط ​​منجر به ضرر ۸.۳ میلیون دلاری شد، رقم مربوطه برای سال ۲۰۲۱ نزدیک به ۳۶ میلیون دلار است.

در سال ۲۰۲۱ شاهد افزایش گسترده هک‌های دیفای در مقایسه با سال ۲۰۲۰ بودیم. در این سال ، بزرگترین هک دیفای که تاکنون ثبت شده است اتفاق افتاد که خوشبختانه این وجوه برگردانده شده است. با این حال، متأسفانه سایر هک و سرقت‌های انجام شده، هکرهای مهربانی نداشتند و وجوه بازیابی نشدند.

نتیجه‌گیری

در این مقاله درباره ۱۰ هک بزرگ در سال ۲۰۲۱ صحبت کردیم؛ چرا که همه این موارد یک یادآوری برای هر کاربر، توسعه‌دهنده یا اپراتور دیفای است تا بدانند مجرمان سایبری رمزارز همیشه به دنبال آسیب‌پذیری‌های پلتفرم و ابزارهای دیفای برای سوءاستفاده از آن‌ها هستند.

نکته: توجه داشته باشید این مقاله صرفا با هدف راهنمایی و آشنایی نوشته شده و آکادمی ارز دیجیتال ارزتودی مسئولیتی در مقابل تصمیمات افراد یا عواقب مالی آن ندارد.

مطالب مرتبط:

چگونه از کلاهبرداری‌های NFT جلوگیری کنیم؟ کریپتو جکینگ یا رمزارز ربایی چیست؟ حساب‌های اجاره‌ای در ارز دیجیتال چیست؟ چطور پروژه‌های راگ پول (RugPull) را شناسایی کنیم؟