سرقت ۹.۶ میلیون دلاری از پروتکل دیفای Resupply؛ آیا امنیت دیفای در خطر است؟
مفاهیم کلیدی- پروتکل دیفای Resupply هدف حمله دستکاری قیمت قرار گرفت و ۹.۶ میلیون دلار از دست داد.
- مهاجم با اشکال قرارداد و حمایت تورنادوکش، داراییها را به اتریوم تبدیل و تقسیم کرد.
- شرکتهای امنیتی بر لزوم تدابیر پیشگیرانه و افزایش هشدار نسبت به هکهای میلیاردی تأکید کردند.
سرقت ۹.۶ میلیون دلاری از پروتکل استیبلکوین Resupply به دلیل سوءاستفاده از دستکاری قیمت
پروتکل مالی غیرمتمرکز (DeFi) Resupply تأیید کرد که در بازار wstUSR خود دچار یک شکاف امنیتی شده است که حدود ۹.۶ میلیون دلار رمزارز به سرقت رفت. شرکت امنیت بلاکچین Cyvers روز پنجشنبه اعلام کرد که این سوءاستفاده ناشی از حملهای برای دستکاری قیمت بوده که مربوط به تعامل پروتکل با استیبلکوین مصنوعی به نام cvcrvUSD است.
جزییات حمله و نحوه اجرای آن
میر دولف، همبنیانگذار و مدیر فناوری Cyvers، در گفتگو با کوین تلگراف توضیح داد که مهاجم با پیدا کردن اشکالی در قرارداد ResupplyPair موفق شد قیمت سهام را به شکل غیرواقعی افزایش دهد. او گفت: «با بالا بردن قیمت سهم، فقط با وثیقه اندکی توانستند ۱۰ میلیون دلار reUSD قرض بگیرند.» بر اساس اعلام Cyvers، مهاجم هزینه انجام این حمله را از طریق تورنادوکش تأمین کرده و وجوه دزدیدهشده را به اتریوم (ETH) تبدیل و آنها را در دو آدرس مختلف پخش کرده است.
نگرانیهای امنیتی در حوزه دیفای و واکنش Resupply
این حادثه نگرانیها درباره امنیت پروتکلهای دیفای، به ویژه پروتکلهایی که مبتنی بر داراییهای مصنوعی و مکانیزمهای وابسته به اوراکل هستند، برجسته میکند. دولف تاکید کرد که تدابیری مانند اعتبارسنجی درست ورودیها، بررسی اوراکل و آزمایش موارد خاص میتوانست از وقوع حمله جلوگیری کند. او توصیه کرد که افزودن بررسیهای سلامت در منطق وامدهی و رصد آنی موارد غیرعادی میتواند از هکهای مشابه پیشگیری کند. در پاسخ به این سوءاستفاده، Resupply با صدور بیانیهای اعلام کرد که تنها بازار wstUSR تحت تاثیر قرار گرفته و قراردادهای آسیبدیده را متوقف کرده است. تیم پروژه اعلام کرد: «به محض تکمیل تحلیل، گزارشی جامع منتشر خواهد شد.»
خسارات میلیارد دلاری حملات سال جاری و تغییر تاکتیک هکرها
این سوءاستفاده همزمان با افزایش میلیارد دلاری خسارات ناشی از هکها در سال جاری است. در تاریخ ۴ ژوئن، شرکت امنیت سایبری CertiK گزارش داد که تا سال ۲۰۲۵ بیش از ۲.۱ میلیارد دلار از طریق هکها و سوءاستفادهها به سرقت رفته است. این شرکت همچنین هشدار داد که هکرها از تاکتیکهای جدیدی مانند مهندسی اجتماعی استفاده میکنند. در همین حال، پلتفرم اسمارت کانترکت Fuzzland فاش کرد که یکی از کارکنان سابق خود عامل سوءاستفاده ۲ میلیون دلاری Bedrock UniBTC در سال ۲۰۲۴ بوده است. این کارمند با استفاده از حملات زنجیره تامین، تاکتیکهای تهدید پیشرفته و مهندسی اجتماعی، دادههای حساس را سرقت و از آن برای حمله استفاده کرده است.
