خبر فوری: سرقت بیش از 47میلیون دلار از صرافی Curve Finance ازطریق باگ امنیتی

جولای۲۰۲۳ (۸مرداد۱۴۰۲)، بیش از ۴۷میلیون دلار از استخرهای صرافی غیرمتمرکز کرو فایننس (Curve Finance) که با زبان برنامه‌نویسی Vyper کدنویسی شده بودند، از‌طریق باگ امنیتی به‌سرقت رفت. این آسیب‌پذیری به نسخه‌های وایپر ۰.۲.۱۵، ۰.۲.۱۶، ۰.۳.۰ و مکانیزم قفل‌های ورود مجدد (Reentrancy Locks) مربوط می‌شدند. Curve Finance صرافی‌ای غیرمتمرکز برای استیبل‌کوین‌هاست که روی شبکه اتریوم فعالیت می‌کند.

پس از این اتفاق، حساب رسمی وایپر در X اعلام کرد که تحقیقات درباره این مسئله در حال انجام است؛ اما هر پروژه‌ای که از نسخه‌های ذکرشده وایپر استفاده می‌کند، سریعاً به ما خبر دهد. طبق داده‌های پلتفرم امنیتی Ancilia، نزدیک به ۱۳۶ قرارداد از وایپر ۰.۲.۱۵ و ۹۸ قرارداد از نسخه ۰.۲.۱۶ و ۲۲۶ قرارداد از نسخه ۰.۳.۰ استفاده می‌کنند.

براساس بررسی‌های اولیه، برخی از نسخه‌های کامپایلر Vyper مکانیزم امنیتی قفل ورود مجدد را به‌خوبی اجرا نمی‌کنند. این مکانیزم امنیتی با قفل‌کردن قرارداد از اجرای هم‌زمان چندین عملکرد مانع می‌شود؛ اما از‌آن‌جا‌که این مکانیزم در نسخه‌های ذکرشده وایپر به‌درستی کار نمی‌کردند، هکرها از همین نقطه آسیب‌پذیر موفق شدند که حملات ورود مجدد را روی چندین استخر صرافی غیرمتمرکز کرو فایننس اجرا کنند و بیش از ۴۷‌میلیون دلار را به‌سرقت ببرند.

وایپر یکی از زبان‌های برنامه‌نویسیِ قراردادهای هوشمند است که از شیوه‌های پایتون پیروی می‌کند. تمرکز Vyper بر اجرا روی ماشین مجازی اتریوم (EVM) است. به‌‌دلیل شباهت‌های زیاد وایپر با پایتون، زبان برنامه‌نویسی محبوب توسعه‌دهندگانی‌ است که می‌خواهند وارد دنیای WEB3 شوند.

شایان ذکر است که کرو فایننس، تنها قربانی این حملات نبود؛ زیرا تعداد دیگری از صرافی‌های غیرمتمرکز نیز با حمله این هکرها روبه‌رو شدند. صرافی غیرمتمرکز Ellipsis گزارش داده است که برخی از استخرهای BNB این صرافی که از نسخه قدیمی وایپر استفاده می‌کردند، از‌طریق همین آسیب‌پذیری هک شده‌اند. همچنین، صرافی‌های غیرمتمرکز Alchemix و JPEGd و Metronome شاهد چنین حملاتی روی استخرهای اتریوم خود بودند که به‌ترتیب به دزدیده‌شدن ۱۳.۶ و ۱۱.۴ و ۱.۶‌میلیون دلار منجر شده است. میشل اگورف، مدیرعامل کرو فایننس، بعد از این حملات اعلام کرد که فقط در یک فقره  ۳۲‌میلیون واحد رمزارز CRV‌ به‌ارزش ۲۲میلیون دلار از‌طریق یکی از کانال‌های تلگرامی به‌سرقت رفته است.

این حملات باعث ترس و وحشت در اکوسیستم دیفای (DeFi) شده و موجی از تراکنش‌ها را به‌دنبال داشته است. پس از انتشار خبر هک، قیمت رمزارز CRV بلافاصله ۵‌درصد کاهش پیدا کرد. در ماه‌های اخیر، نقدینگی CRV کاهش درخورتوجهی تجربه کرده است؛ به‌همین‌دلیل، در‌برابر نوسان‌های شدید بسیار آسیب‌پذیر شده است. طبق اعلام کرو فایننس، قراردادهای crvUSD و استخرهای مرتبط به آن دچار این حملات نشده‌اند.

نمودار قیمت رمزارز CRV

گفتنی‌ است که در ماه‌های اخیر، اکوسیستم دیفای با حملات زیادی مواجه بوده است. در روزهای گذشته نیز، پلتفرم Conic Finance اعلام کرد که ۳.۲۶‌میلیون دلار اتریوم از استخرهای این پلتفرم دزدیده و تقریباً تمام آن‌ها طی یک تراکنش منتقل شده است. طبق گزارش پلتفرم تحلیل داده De.Fi‌‌، در سه‌ماهه دوم سال ۲۰۲۳، بیش از ۲۰۴‌میلیون دلار در پلتفرم‌های دیفای از‌طریق حملات هک و کلاه‌برداری دزدیده شده است.