ارز دیجیتال
crypto.news
crypto.news
.

هک ۴۲ میلیون دلاری GMX؛ آیا امنیت قراردادهای دیفای زیر سوال است؟

یونی سواپیونی سواپ
دایدای
یو اس دی کوینیو اس دی کوین
چین لینکچین لینک
تترتتر
اتریوماتریوم
مفاهیم کلیدیمفاهیم کلیدی
  • بیش از ۴۰ میلیون دلار از استخر GMX روی آربیتروم به سرقت رفت.
  • نقص منطقی در لوریج موجب شد حتی ممیزی‌های معتبر آسیب‌پذیری را شناسایی نکنند.
  • امنیت دیفای و کارآمدی ممیزی‌ها بار دیگر مورد تردید جدی قرار گرفت.
هک ۴۲ میلیون دلاری GMX؛ آیا امنیت قراردادهای دیفای زیر سوال است؟

هک ۴۲ میلیون دلاری استخر نقدینگی GMX در شبکه آربیتروم

در حالی که قراردادهای هوشمند GMX تحت بررسی و ممیزی‌های متعددی قرار داشتند، استخر نقدینگی V1 GLP این پلتفرم روی شبکه آربیتروم هدف یک حمله بی‌سابقه قرار گرفت و بیش از ۴۰ میلیون دلار دارایی به سرقت رفت. این اتفاق بسیاری از معامله‌گران را نگران کرده است و سوالاتی را درباره امنیت قراردادهای ممیزی‌شده و آینده معاملات پرپچوال در دیفای ایجاد کرده است.

جزئیات حمله و اقدامات GMX پس از آن

در تاریخ ۹ ژوئیه، صرافی غیرمتمرکز GMX تایید کرد که استخر نقدینگی V1 GLP در شبکه آربیتروم مورد سوءاستفاده قرار گرفته است و بیش از ۴۰ میلیون دلار توکن مختلف تنها در یک تراکنش به کیف‌پول ناشناسی انتقال یافت. این حمله که بر اساس شواهد با دستکاری مکانیزم ولت GLP صورت گرفت، باعث شد پروتکل فوراً معاملات را متوقف و فرآیند مینت و بازخرید توکن GLP را هم در آربیتروم و هم اولانچ متوقف کند. GMX تاکید کرد که این رخنه فقط مربوط به نسخه V1 بوده و هیچ تاثیری بر نسخه V2، توکن یا دیگر بازارهای مرتبط نداشته است.

روش حمله؛ سوءاستفاده از مکانیزم لوریج

بررسی‌ها نشان می‌دهد مهاجم با دستکاری مکانیزم لوریج پروتکل، توانست مقدار زیادی توکن GLP بدون وثیقه کافی مینت کند. پس از افزایش مصنوعی موقعیت خود، این توکن‌های تقلبی برای دارایی‌های پایه بازخرید شدند و در نتیجه استخر بیش از ۴۰ میلیون دلار دچار کسری شد. تحقیقات Cyvers و Lookonchain نشان داد که مهاجم با یک قرارداد مخرب که توسط Tornado Cash تأمین سرمایه شده بود، مسیر حمله را پنهان کرد. حدود ۹.۶ میلیون دلار از مجموع ۴۲ میلیون دلار به کمک پروتکل انتقال زنجیره‌ای Circle از آربیتروم به اتریوم منتقل و بخشی از آن به DAI تبدیل شد. دارایی‌های به سرقت رفته شامل ETH، USDC، fsGLP، DAI، UNI، FRAX، USDT، WETH و LINK بود که این حمله را به یک سرقت چند دارایی (چه از نوع بومی و چه سنتتیک) تبدیل کرد.

چالش‌های امنیتی قراردادهای هوشمند و محدودیت‌های ممیزی

قراردادهای نسخه V1 GMX پیش از راه‌اندازی توسط شرکت‌های برجسته‌ای همچون Quantstamp و ABDK Consulting ممیزی شده بود. این شرکت‌ها ریسک‌هایی مانند Reentrancy و دسترسی‌های مدیریتی را بررسی کرده بودند اما هیچکدام آسیب‌پذیری مربوط به مکانیزم لوریج را کشف نکرده بودند. این موضوع یک نقطه ضعف رایج در امنیت دیفای را عیان می‌کند: تمرکز ممیزی‌ها بر آسیب‌پذیری‌های عمومی و نه منطق خاص هر پروتکل.

جالب است که GMX برنامه شکار باگ ۵ میلیون دلاری و همچنین مانیتورینگ فعال توسط شرکت‌هایی مانند Guardian Audits را داشت. با این حال، این رخداد تنها امنیت GMX را زیر سوال نمی‌برد، بلکه اساس رویکرد امنیت مبتنی بر ممیزی را هم با چالش مواجه کرده است. اگر پروتکلی به این میزان معتبر و تست‌شده بتواند به دلیل یک نقص منطقی چنین ضربه‌ای بخورد، وضعیت پروژه‌های کمتر شناخته‌شده از این هم نگران‌کننده‌تر خواهد بود.

واکنش GMX و آینده دیفای

در همین حین، تیم GMX با انتشار پیام زنجیره‌ای از مهاجم خواسته است تا با بازگرداندن دارایی‌ها، ۱۰ درصد مبلغ را به‌عنوان پاداش دریافت کند؛ موضوعی که واقعیت تلخ بازیابی در دیفای را یادآور می‌شود: اغلب امیدها به مذاکره با هکرها وابسته است.

لینک خبر
ترجمه شده توسط طاها نیک نژاد
هنوز دیدگاهی ثبت نشده است.
Toobit
Toobit
آگهی