شب گذشته چندین استخر نقدینگی استیبل کوینی، متعلق به بزرگترین صرافی غیرمتمرکز در حوزه دیفای یعنی کرو فایننس (Curve Finance) مورد حمله هکری قرار گرفت و بیش از 47 میلیون دلار به سرقت رفت.

استیبل کوین‌های کرو فایننس از طریق حمله ری‌انترنسی (Reentrancy) به سرقت رفته‌است

طبق گزارش‌ها نسخه‌های 0.2.15، 0.2.16 و 0.3.0 زبان برنامه‌نویسی وایپر (Vyper) در کرو فایننس در برابر حمله هکری «ورود مجدد» یا «بازدخولی» که به آن ری‌انترنسی (Reentrancy) نیز می‌گویند، آسیب‌پذیر هستند. این سرقت نیز از طریق حمله ری‌انترنسی صورت گرفته است. در این نوع حمله یک قرارداد هوشمند با یک قرارداد هوشمند غیرقابل اعتماد دیگر تماس خارجی برقرار می‌کند و اگر آن قرارداد خارجی مخرب باشد با یک فراخوان بازگشتی تلاش می‌کند وجوه داخل قرارداد هوشمند را تخلیه کند.

تیم توسعه وایپر در این خصوص در X (توییتر سابق) نوشت: “تحقیقات در حال انجام است، اما هر پروژه‌ای که فعالیت خود را بر روی این نسخه‌ها انجام می‌دهد باید فوراً با ما تماس بگیرد.”

در پی تجزیه و تحلیلی که شرکت امنیتی آنسیلیا (Ancilia) از قراردادهای هوشمند تحت تأثیر این حمله انجام داد، 136 قرارداد هوشمند از وایپر نسخه 0.2.15، 98 قرارداد از نسخه 0.2.16 و 226 قرارداد از نسخه 0.3.0 این زبان برنامه‌نویسی استفاده می‌کردند.

طبق بررسی اولیه، برخی از نسخه‌های کامپایلر وایپر، محافظ ری‌انترنسی را به درستی پیاده‌سازی نمی‌کنند. محافظ ری‌انترنسی با قفل‌کردن یک قرارداد، مانع از اجرای همزمان چندین عملکرد به روی آن می‌شود. حملات ورود مجدد به طور بالقوه می‌توانند تمام سرمایه های قرارداد را تخلیه کنند.

گفتنی است وایپر یک زبان برنامه نویسی قراردادی و پایتونیک است که ماشین مجازی اتریوم (EVM) را هدف قرار می‌دهد. شباهت‌های وایپر به پایتون این زبان را به یکی از نقاط شروع توسعه‌دهندگان پایتون تبدیل می‌کند که به وب 3.0 می‌آیند.

کاهش قیمت توکن کرو فایننس

آنطور که کوین تلگراف می‌گوید این هک باعث ایجاد وحشت در سراسر اکوسیستم دیفای شده‌است. موجی از تراکنش‌ها در استخرها در حال انجام است و عملیات نجات از سوی هکرهای کلاه سفید آغاز شده‌است. داده‌های کوین‌مارکت‌کپ نشان می‌دهد که توکن کاربردی کرو فایننس (CRV) نیز در واکنش به این خبر بیش از 13 درصد کاهش قیمت یافته‌است.

منبع cointelegraph.com