Clipper DEX: هک ۴۵۰ هزار دلاری به دلیل افشای کلید خصوصی نبود
صرافی غیرمتمرکز (DEX) Clipper اعلام کرد که آسیبپذیری در تابع برداشت آن باعث هک ۴۵۰ هزار دلاری اخیر شده است، نه افشای کلید خصوصی همانطور که توسط یک «شخص ثالث» مطرح شده بود. Clipper در یک پست X در ۱ دسامبر گفت که مهاجم در ۱ دسامبر از دو استخر نقدینگی سوءاستفاده کرد که حدود ۶٪ از ارزش کل قفل شده آن را به خود اختصاص داد. این صرافی افزود که هیچ استخر دیگری تحت تأثیر قرار نگرفته و این سوءاستفاده به پایان رسیده است.
«ادعاهایی از سوی اشخاص ثالث مبنی بر افشای کلید خصوصی مطرح شده است،» Clipper نوشت. «ما میتوانیم تأیید کنیم که این موضوع صحت ندارد و با طراحی و معماری امنیتی Clipper ناسازگار است.»
«امکان برداشت به صورت فقط یک توکن (یک تراکنش ترکیبی از سواپ و واریز/برداشت) غیرفعال شده است، زیرا به نظر میرسد این ویژگی مورد سوءاستفاده قرار گرفته است.»
پیشتر، یکی از بنیانگذاران شرکت امنیتی Fuzzland، چائوفان شو، در X نوشته بود که Clipper «به دلیل آسیبپذیری API (مانند افشای کلید خصوصی) هک شده است» و افزود که API احتمالاً دارای آسیبپذیریهایی بوده که به مهاجم اجازه داده تا درخواستهای واریز و برداشت را امضا کرده و بیش از مبلغ واریزی خود، وجوه را خارج کند.
Clipper اعلام کرد که در حال بررسی این حادثه است و قول داده که بهروزرسانیهای بیشتری ارائه دهد و در این مدت، سواپها و واریزها را در پروتکل خود متوقف کرده است. برداشتها باز هستند، اما «باید به صورت ترکیبی از تمام داراییهای موجود در استخر انجام شوند.»
این پروژه نوشت که همچنین ردیابی وجوه سرقت شده را برای بازیابی آنها آغاز کرده و از مهاجم خواسته است که در صورت تمایل به صحبت، با پروژه تماس بگیرد.
این هک به بیش از ۱.۴۸ میلیارد دلار رمزارز سرقت شده در سال ۲۰۲۴ تا پایان نوامبر اضافه میشود که نسبت به مدت مشابه سال گذشته ۱۵٪ کاهش داشته است، طبق گزارش ۲۸ نوامبر Immunefi.
شرکت سازنده Clipper، Shipyard Software Inc.، بلافاصله به درخواست برای اظهار نظر خارج از ساعات کاری عادی پاسخ نداد. شو برای اظهار نظر تماس گرفته شد.