ارز دیجیتال
crypto.news
crypto.news
.

سرقت ۹.۵ میلیون دلاری از پروتکل ری‌ساپلای با دستکاری قیمت: آیا دیفای امن است؟

مفاهیم کلیدیمفاهیم کلیدی
  • پروتکل ری‌ساپلای با دستکاری قیمت توکن‌ها ۹.۵ میلیون دلار ضرر کرد.
  • مهاجم با سوءاستفاده از اوراکل قیمتی و بازار کم‌نقدینگی موفق به سرقت شد.
  • حملات مشابه قیمت‌گذاری ضعیف و آسیب‌پذیری به اوراکل، روند فزاینده دارند.
سرقت ۹.۵ میلیون دلاری از پروتکل ری‌ساپلای با دستکاری قیمت: آیا دیفای امن است؟

حمله به پروتکل استیبل‌کوین ری‌ساپلای باعث سرقت ۹.۵ میلیون دلار شد

یک مهاجم با دستکاری قیمت توکن‌ها، نرخ‌های تبادل را تغییر داد و حدود ۹.۵ میلیون دلار از پروتکل غیرمتمرکز استیبل‌کوین ری‌ساپلای برداشت کرد. این حمله نخستین بار در ۲۵ ژوئن توسط پلتفرم امنیتی BlockSec Phalcon شناسایی شد که تراکنشی مشکوک با زیان ۹.۵ میلیون دلاری را کشف کرد.

پروتکل ری‌ساپلای بلافاصله پس از آن، در حساب ایکس خود وقوع این حادثه را تایید کرد و اعلام نمود که قرارداد هوشمند آسیب‌دیده متوقف شده و تنها بازار wstUSR مورد حمله قرار گرفته است. به گفته تیم توسعه‌دهنده، بررسی کامل ماجرا در دست انجام است و هسته اصلی پروتکل همچنان فعال است.

شیوه حمله و تاثیر آن

هر چند جزئیات کامل هنوز منتشر نشده، اما تحلیل اولیه پژوهشگران امنیتی نشان می‌دهد که با یک نمونه کلاسیک از دستکاری قیمت در بازاری با نقدینگی پایین روبه‌رو بودیم. هدف حمله توکن cvcrvUSD بود که نسخه‌ای رپ‌شده از توکن crvUSD مربوط به Curve DAO و استیک‌شده در Convex Finance است.

کارشناسان می‌گویند مهاجم با ارسال کمک‌های مالی کوچک، ارزش سهم cvcrvUSD را به طور مصنوعی افزایش داد. به دلیل وابستگی فرمول محاسبه نرخ تبادل ری‌ساپلای به این قیمت جعلی، کل سیستم آسیب‌پذیر شد. مهاجم سپس با استفاده از قرارداد هوشمند ری‌ساپلای، تنها با ارائه یک «وی» از cvcrvUSD به عنوان وثیقه، ۱۰ میلیون reUSD (استیبل‌کوین بومی پلتفرم) وام گرفت. این reUSD بلافاصله به سایر دارایی‌ها در بازارهای خارجی تبدیل و موجب زیان خالص حدود ۹.۵ میلیون دلار شد.

ضعف در اوراکل قیمتی و حملات مشابه اخیر

تحقیقات بیشتر نشان داد که حمله‌کننده از یک «wrapper» خالی با استاندارد ERC4626 که به عنوان اوراکل قیمت در جفت CurveLend پروتکل استفاده می‌شد سوءاستفاده کرده است. این امر به مهاجم اجازه داد تا تنها با دو عدد crvUSD قیمت cvcrvUSD را شدیدا بالا برده و الزامات همیشگی وثیقه را دور بزند.

این حادثه به لیست حملات فزاینده دستکاری قیمت در سال ۲۰۲۵ افزوده شده است. پروتکل‌هایی چون Meta Pool و اکوسیستم GMX/MIM Spell نیز اخیرا به دلیل آسیب‌پذیری در اوراکل و دستکاری توکن با نقدینگی پایین هدف قرار گرفته‌اند. مکانیزم‌های قیمت‌گذاری ضعیف و لَندینگ سریع (Flash Loans) ابزارهای همیشگی مهاجمان در حوزه دیفای محسوب می‌شود، حتی اگر قراردادها قبلاً با موفقیت امنیتی بررسی شده باشند.

اقدامات بعد از حمله

هنوز پروتکل ری‌ساپلای اعلام نکرده که آیا وجوه کاربران جبران خواهد شد یا برنامه‌ای برای بازیابی در نظر دارد یا خیر.

لینک خبر
ترجمه شده توسط سعید محمد
هنوز دیدگاهی ثبت نشده است.
LBank
LBank
آگهی