هک ۵ میلیون دلاری 1inch؛ وجوه کاربران امن است

هک ۵ میلیون دلاری 1inch به دلیل آسیب‌پذیری قرارداد هوشمند

تجمیع‌کننده صرافی‌های غیرمتمرکز 1inch در پی هک یک قرارداد هوشمند، ۵ میلیون دلار از دارایی‌های خود را از دست داد. این پلتفرم تأیید کرد که در ۵ مارس، یک آسیب‌پذیری در «حل‌کننده‌ها» (نهادهایی که سفارش‌ها را تکمیل می‌کنند) با استفاده از پیاده‌سازی قدیمی Fusion v1 شناسایی شد که یک روز بعد به‌صورت عمومی اعلام شد.

در ۷ مارس، شرکت امنیت بلاکچین SlowMist از طریق یک تحقیق درون‌زنجیره‌ای کشف کرد که هکر 1inch توانسته ۲.۴ میلیون USDC و ۱۲۷۶ توکن Wrapped Ether (WETH) را به سرقت ببرد.

به گفته 1inch، این هک فقط از حل‌کننده‌هایی که از Fusion v1 در قراردادهای خود استفاده می‌کردند، سرقت کرده و دارایی‌های کاربران نهایی در امان بوده است: «ما به‌طور فعال با حل‌کننده‌های آسیب‌دیده همکاری می‌کنیم تا سیستم‌های آن‌ها را ایمن کنیم. از همه حل‌کننده‌ها می‌خواهیم که قراردادهای خود را فوراً بررسی و به‌روزرسانی کنند.»

این پلتفرم برنامه‌های جایزه باگ را برای ایمن‌سازی سایر آسیب‌پذیری‌های سیستم و بازیابی وجوه سرقت‌شده اعلام کرده است. تلاش 1inch برای بازپس‌گیری وجوه سرقت‌شده کم‌رنگ است، مگر اینکه هکر موافقت کند آن‌ها را بازگرداند. پیش‌تر، پروتکل‌های کریپتو که مورد حمله قرار گرفته بودند، توانسته‌اند وجوه را پس از موافقت مهاجمان با حفظ ۱۰٪ از وجوه به‌عنوان پاداش هک اخلاقی، بازیابی کنند، همان‌طور که در مورد وام‌دهنده کریپتو Shezmu دیده شد.

با این حال، هکرهای کره شمالی که پشت هک ۱.۵ میلیارد دلاری Bybit بودند - که بزرگ‌ترین سرقت تاریخ کریپتو نامیده می‌شود - توانستند کل مبلغ را با وجود تلاش‌های هماهنگ جامعه کریپتو برای جبران خسارت، به سرقت ببرند. این هکرها مقادیر مختلفی از Ether (STETH) سپرده‌گذاری‌شده، Mantle Staked ETH (mETH) و سایر توکن‌های ERC-20 را از Bybit سرقت کردند.

علیرغم از دست دادن ناگهانی وجوه، Bybit توانست به کاربران خود اجازه دهد بدون مشکل وجوه خود را برداشت کنند، با گرفتن سریع وام از سایر شرکت‌های کریپتو که در تاریخ بعدی بازپرداخت شد. ۱۰ روز طول کشید تا هکرهای Bybit ۱.۴ میلیارد دلار از ارزهای دیجیتال سرقت‌شده را پول‌شویی کنند.

برخی از وجوه پول‌شویی‌شده ممکن است علیرغم مبادلات دارایی، همچنان قابل ردیابی باشند. به گفته Deddy Lavid، یکی از بنیان‌گذاران و مدیرعامل شرکت امنیت بلاکچین Cyvers: «در حالی که پول‌شویی از طریق میکسرها و مبادلات زنجیره‌ای پیچیدگی بازیابی را افزایش می‌دهد، شرکت‌های امنیت سایبری که از هوش درون‌زنجیره‌ای، مدل‌های مبتنی بر هوش مصنوعی و همکاری با صرافی‌ها و تنظیم‌کننده‌ها استفاده می‌کنند، همچنان فرصت‌های کوچکی برای ردیابی و احتمالاً مسدود کردن دارایی‌ها دارند.»

THORChain، یک پروتکل مبادله زنجیره‌ای که گفته می‌شود به‌طور گسترده توسط هکرها برای انتقال وجوه استفاده شده است، پس از هک Bybit شاهد افزایش فعالیت بوده است.