هک پروتکل DeFi UniLend Finance به ارزش ۱۹۷ هزار دلار
گزارشها حاکی از آن است که پروتکل مالی غیرمتمرکز UniLend Finance در شبکه اتریوم مورد حمله قرار گرفته و حدود ۱۹۷ هزار دلار از داراییهای آن به سرقت رفته است. در ۱۲ ژانویه، استارتاپ امنیتی وب۳ TenArmorAlert گزارش داد که یک مهاجم با سوءاستفاده از «فرآیند بازخرید» UniLend و دستکاری در محاسبه قیمت سهم، این حمله را انجام داده است. این نقص به مهاجم اجازه داد تا بهطور مصنوعی ارزش وثیقه خود را افزایش داده و وجوه را از استخر خارج کند.
مهاجم توکنهای USDC و Lido Staked Ether (stETH) را به عنوان وثیقه واریز کرد، تمام stETH موجود در استخر را قرض گرفت و سپس سپردههای اولیه خود را بدون بازپرداخت توکنهای قرض گرفته شده بازخرید کرد و عملاً استخر را تخلیه کرد. این تراکنش در ساعت ۱۱:۱۹:۵۹ صبح به وقت هماهنگ جهانی (UTC) انجام شد و خسارت اولیه توسط TenArmorAlert معادل ۱۹۶.۲ هزار دلار برآورد شد. با این حال، بهروزرسانی بعدی شرکت امنیتی وب۳ SlowMist مجموع خسارات را کمی بیشتر و معادل ۱۹۷.۶ هزار دلار اعلام کرد.
تا زمان انتشار این خبر، UniLend Finance به این حمله واکنشی نشان نداده و درخواست کریپتو نیوز برای توضیحات بیشتر را بیپاسخ گذاشته است.
حملات مکرر به بخش DeFi
بخش DeFi در سالهای اخیر به یکی از اهداف اصلی مهاجمان تبدیل شده است. طبق گزارش شرکت تجزیه و تحلیل بلاکچین PeckShield، حدود ۶۰٪ از تمام حملات و کلاهبرداریها در سال ۲۰۲۴ این بخش را هدف قرار دادهاند. یکی از بزرگترین حملات در سال ۲۰۲۴ مربوط به Radiant Capital بود که به گروه بدنام لازاروس نسبت داده شد و منجر به از دست رفتن ۵۰ میلیون دلار شد. مهاجمان با جعل هویت یک پیمانکار سابق مورد اعتماد این پروتکل، بدافزار را در دستگاههای حداقل سه نفر از توسعهدهندگان پروژه نصب کردند.
در نوامبر ۲۰۲۴، استخرهای نقدینگی پروتکل Thala نیز حدود ۲۵.۵ میلیون دلار تخلیه شد و مهاجم با استفاده از یک آسیبپذیری در قراردادهای فارمینگ پروتکل، این حمله را انجام داد. خوشبختانه، مهاجم با دریافت ۳۰۰ هزار دلار به عنوان پاداش، تمام داراییهای سرقت شده را بازگرداند.