شب گذشته چندین استخر نقدینگی استیبل کوینی، متعلق به بزرگترین صرافی غیرمتمرکز در حوزه دیفای یعنی کرو فایننس (Curve Finance) مورد حمله هکری قرار گرفت و بیش از 47 میلیون دلار به سرقت رفت.
استیبل کوینهای کرو فایننس از طریق حمله ریانترنسی (Reentrancy) به سرقت رفتهاست
طبق گزارشها نسخههای 0.2.15، 0.2.16 و 0.3.0 زبان برنامهنویسی وایپر (Vyper) در کرو فایننس در برابر حمله هکری «ورود مجدد» یا «بازدخولی» که به آن ریانترنسی (Reentrancy) نیز میگویند، آسیبپذیر هستند. این سرقت نیز از طریق حمله ریانترنسی صورت گرفته است. در این نوع حمله یک قرارداد هوشمند با یک قرارداد هوشمند غیرقابل اعتماد دیگر تماس خارجی برقرار میکند و اگر آن قرارداد خارجی مخرب باشد با یک فراخوان بازگشتی تلاش میکند وجوه داخل قرارداد هوشمند را تخلیه کند.
تیم توسعه وایپر در این خصوص در X (توییتر سابق) نوشت: “تحقیقات در حال انجام است، اما هر پروژهای که فعالیت خود را بر روی این نسخهها انجام میدهد باید فوراً با ما تماس بگیرد.”
در پی تجزیه و تحلیلی که شرکت امنیتی آنسیلیا (Ancilia) از قراردادهای هوشمند تحت تأثیر این حمله انجام داد، 136 قرارداد هوشمند از وایپر نسخه 0.2.15، 98 قرارداد از نسخه 0.2.16 و 226 قرارداد از نسخه 0.3.0 این زبان برنامهنویسی استفاده میکردند.
طبق بررسی اولیه، برخی از نسخههای کامپایلر وایپر، محافظ ریانترنسی را به درستی پیادهسازی نمیکنند. محافظ ریانترنسی با قفلکردن یک قرارداد، مانع از اجرای همزمان چندین عملکرد به روی آن میشود. حملات ورود مجدد به طور بالقوه میتوانند تمام سرمایه های قرارداد را تخلیه کنند.
گفتنی است وایپر یک زبان برنامه نویسی قراردادی و پایتونیک است که ماشین مجازی اتریوم (EVM) را هدف قرار میدهد. شباهتهای وایپر به پایتون این زبان را به یکی از نقاط شروع توسعهدهندگان پایتون تبدیل میکند که به وب 3.0 میآیند.
کاهش قیمت توکن کرو فایننس
آنطور که کوین تلگراف میگوید این هک باعث ایجاد وحشت در سراسر اکوسیستم دیفای شدهاست. موجی از تراکنشها در استخرها در حال انجام است و عملیات نجات از سوی هکرهای کلاه سفید آغاز شدهاست. دادههای کوینمارکتکپ نشان میدهد که توکن کاربردی کرو فایننس (CRV) نیز در واکنش به این خبر بیش از 13 درصد کاهش قیمت یافتهاست.
منبع cointelegraph.com