سال ۲۰۲۱ شاهد هک شدن نزدیک به ۲ میلیارد دلار سرمایه در فضای کریپتوکارنسی بودیم، براساس گزارشات به دست آمده این مقدار پول را پروتکلهای دیفای در یک سال به دلیل حملات سایبری و سایر سوء استفادهها از دست دادهاند. افزایش خیرهکننده این رقم یعنی بیش از ۱۳۰۰ درصد نسبت به ۱۳۴ میلیون دلار در سال ۲۰۲۰، نشان از افزایش توجهات به سمت این بازار دارد. بزرگترین هک دیفای (DeFi) در سال ۲۰۲۰ یعنی ضرر ۳۴ میلیون دلاری Harvest Finance در یک حمله وام فلش، نسبت به هکهای بزرگ دیفای در سال ۲۰۲۱ چندان به چشم نمیآید.
در این مقاله، ما ۱۰ هک بزرگ دیفای در سال ۲۰۲۱ از جمله بزرگترین سوءاستفاده امنیتی DeFi به ارزش بیش از ۶۰۰ میلیون دلار که به طرز شگفتآوری، برای همه طرفهای درگیر به خوبی پایان یافت را مرور میکنیم. تمام ۱۰ هک بزرگ سال گذشته منجر به نشت سرمایه حداقل ۴۵ میلیون دلاری شدند. پس بیایید بدترین هکهای رمز ارزی در حوزه دیفای و در سال ۲۰۲۱ را با هم بررسی کنیم.
۱. هک پنکیک بانی (PancakeBunny) – ۴۵ میلیون دلار
پنکیک بانی PancakeBunny، یک پلتفرم مدیریت عملکرد است که با شبکههای BSC و پالیگان کار میکند و در ۱۹ مه ۲۰۲۱ قربانی یک حمله وام فلش شد. مهاجم مقدار زیادی ارز BNB در پنکیک سواپ قرض گرفت، اقدام به دستکاری قیمت توکن بومی پلتفرم یعنی BUNNY در استخر BUNNY/BNB کرد و در نهایت مقدار زیادی از BUNNY را در بازار ریخت و باعث سقوط قیمت توکن شد. سپس مهاجم BNB قرض گرفته شده را در پنکیکسواپ پس داد. این هک بر عملیاتهای مربوط به زنجیره هوشمند بایننس BSC این پلتفرم تأثیر گذاشت و از استخرهای مبتنی بر پالیگان چشم پوشی کرد. کل این عملیات هک منجر به از دست رفتن ۴۵ میلیون دلار شد.
۲. هک اورانیوم فایننس (Uranium Finance) – ۵۰ میلیون دلار
پلتفرم Uranium Finance یک صرافی غیرمتمرکز (DEX) در شبکه هوشمند بایننس (BSC) است. در اواخر آوریل ۲۰۲۱، این پلتفرم در طول فرآیند مهاجرت رمزی خود ۵۰ میلیون دلار ضرر دید. هکر وجوهی را از پلتفرم در مجموعهای از ارزهای دیجیتال، عمدتاً بصورت BNB و BUSD، و نیز بصورت USDT، BTC، ETH، DOT، ADA و U92 و رمزارز بومی اورانیوم سرقت کرد.
با توجه به ماهیت سوء استفاده، یک هک قرارداد هوشمند در مرحله ارتقاء، ادعاها در مورد ماهیت داخلی هک پس از این حادثه به صورت آنلاین منتشر شد. اورانیوم یک طرح کلی از هک را در صفحه Medium خود منتشر کرد. علیرغم درخواست از تیم امنیتی BSC برای کمک به شناسایی مهاجم یا جلوگیری از خروج وجوه از شبکه، مقدار سرقت شده از آن زمان تاکنون بازیابی نشده است.
۳. هک بِلت فایننس (Belt Finance) – ۵۰ میلیون دلار
درست یک ماه پس از حمله به Uranium Finance، یکی دیگر از DEXهای مستقر در شبکه هوشمند بایننس یعنی Belt Finance هک و منجر به ضرر ۵۰ میلیون دلاری شد. این حادثه در نتیجه یک حمله وام فلش بود. مهاجم از پلتفرم پنکیکسواپ برای دستکاری وامهای فلش استفاده کرد. بیشترین آسیب به استخر BeltBUSD وارد شد؛ در حالی که ضرر کلی حدود ۵۰ میلیون دلار بود و خود هکر تقریباً ۶.۲ میلیون دلار به جیب زد.
۴. هک شبکه bZx – ۵۵ میلیون دلار
شبکه bZx، یک پروتکل غیرمتمرکز معاملات مارجین در شبکههای بایننس اسمارت چین و پالیگان و تازه واردی به دنیای دردناک هکهای دیفای است؛ زیرا این پلتفرم تنها در سال ۲۰۲۰ سه بار مورد حمله سایبری قرار گرفت. bZx تا نوامبر ۲۰۲۱ بدون هیچ مشکل امنیتی عمدهای کار میکرد. در ۵ نوامبر، پروتکل زمانی که کلید خصوصی آن به خطر افتاد، هک شد و به مهاجم اجازه داد ۵۵ میلیون دلار سرقت کند. هر دو شبکه مورد استفاده توسط bZx یعنی شبکه هوشمند بایننس و پالیگان هدف هکر قرار گرفتند.
سه روز پس از حمله، bZx اعلام کرد که با صرافیهای ارزهای دیجیتال برای بازیابی وجوه دزدیده شده همکاری میکند. تاکنون هیچ به روز رسانی در مورد موفقیت تلاشهای این پلتفرم ارائه نشده است. در همین حال، در اخبار جدیدتر، bZx و Ooki، پروتکل دیگری برای معاملات مارجین، ظاهراً به یکدیگر ملحق شدهاند و توکن BZRX به پلتفرم Ooki مهاجرت کرده است. این حرکت احتمالاً پایان bZx به عنوان یک پروتکل مستقل است.
۵. هک ایزیفای (EasyFi) – ۵۹ میلیون دلار
ایزیفای EasyFi، یک پروتکل وامدهی چند شبکهای لایه ۲ است که در آوریل ۲۰۲۱ با به خطر افتادن کلید خصوصی کیف پول متامسک خود که توسط مدیر عامل پلتفرم، Ankitt Gaur اداره میشد، حدود ۸۰ میلیون دلار از دست داد. هکر وجوه را از کیف پول رسمی ایزیفای به سرقت برد و زیان آن شامل حدود ۶ میلیون دلار از استخرهای استیبل کوین روی این پلتفرم و ۵۳ میلیون دلار در توکنهای بومی آن یعنی EASY بود.
چهار روز پس از این حادثه، ایزیفای ، توکن EASY را بازنشسته کرد و توکن جدید EZ را برای جایگزینی آن به عنوان بخشی از هارد فورک پلتفرم معرفی کرد. این هک استخرهای ایزیفای را که به هر سه شبکهای که روی آنها کار میکند یعنی پالیگان، بایننس اسمارت چین و اتریوم، تحت تاثیر قرار داد. مشابه هکهای ذکر شده در بالا، مهاجم این سرقت نیز شناسایی نشد.
۶. هک بَجِر(Badger) – ۱۲۰ میلیون دلار از دست رفته
بجر Badger، یک پروتکل وام دهی است که روی شبکه اتریوم بوده و از وثیقه بیت کوین استفاده میکند. این پلتفرم در اوایل دسامبر ۲۰۲۱ به دلیل حملهای که رابط کاربری آن را هدف قرار داد، ۱۲۰ میلیون دلار از دست داد. این حمله سرمایه چند ده کاربر را تحت تأثیر قرار داد و بعید به نظر میرسد که این دارایی به کاربران بازپرداخت شوند.
بجر دارای یک بیمهنامه از شرکت بیمه کریپتو Nexus Mutual است که برخی از هکهای احتمالی را پوشش میدهد، با این حال، این بیمه نامه فقط هکهای مربوط به قرارداد هوشمند را پوشش میدهد، نه نقض رابط کاربری. نکسوس قبلاً اعلام کرده است که این حمله در دستهی حملههای “front-end” طبقه بندی میشود و بنابراین مجبور به پرداخت هیچ غرامتی نیست.
۷. هک پِید نتوورک (Paid Network) – ۱۲۷ میلیون دلار
پلتفرم Paid Network، یک برنامه غیرمتمرکز (DApp) در اتریوم است که خدمات توافقنامههای مبتنی بر قرارداد هوشمند را برای کسبوکارها ارائه میکند. این پروژه با یکی از بزرگترین هکها در تاریخ دیفای با استفاده از یک کلید خصوصی که قبلاً به خطر افتاده بود، ضربه خورد.
مهاجم با استفاده از این کلید، قرارداد هوشمند اصلی روی پلتفرم را با نسخه اصلاح شده جایگزین کرد. این موضوع به آنها اجازه داد تا توکنهای پولی موجود را بسوزانند و مقدار زیادی از توکنهای جدید را مینت کنند. برخی از توکنهای تازه مینت شده قبل از شناسایی نقض و مسدود شدن مبادله جفت ارز PAID/ETH در یونیسواپ به ETH مبادله شدند.
۸. هک کریم فایننس (Cream Finance) – ۱۳۰ میلیون دلار
در اواخر اکتبر، Cream Finance، یک پروتکل وامدهی چند شبکهای، با حمله وام فلش مواجه شد که حدود ۱۳۰ میلیون دلار از استخرهای نقدینگی مبتنی بر اتریوم آن را از بین برد. گزارش نشده که آیا وجوه نگهداری شده در زنجیرههای دیگر مانند BSC، فانتوم، پالیگان و آوالانچ تحت تاثیر قرار گرفته است یا خیر.
با این حال، با توجه به اینکه در بیانیه رسمی این پلتفرم فقط به استخرهای اتریوم اشاره شده است، این احتمال وجود دارد که این حمله فقط استخرهایی را هدف قرار داده باشد که در بزرگترین زنجیره دیفای جهان نگهداری میشوند. این سومین هک مربوط به Cream Finance در سال جاری بود، زیرا تنها دو ماه قبل از هک ۱۳۰ میلیون دلاری، این پلتفرم با هک ۱۹ میلیون دلاری مورد حمله قرار گرفت باز هم بصورت یک حمله وام فلش بود.
۹. هک کامپوند فایننس (Compound Finance) – ۱۴۷ میلیون دلار
پلتفرم Compound Finance، یک پروتکل وام دهی و استقراض مبتنی بر اتریوم و یکی از بزرگترین پروژههای دیفای است که ارزش کل قفل شده (TVL) آن در زمان نگارش این مقاله بیش از ۷ میلیارد دلار است. در ۳۰ سپتامبر ۲۰۲۱، این پروتکل به اشتباه مبالغ هنگفتی را بصورت COMP ارز دیجیتال بومی خود به برخی از کاربرانی پرداخت کرد که تنها سطوح ناچیزی وثیقه بصورت ETH، USDC، و DAI ارائه کردند. اشتباه در قرارداد هوشمند پروتکل به عنوان علت نقص مشکوک بود.
هنوز مشخص نیست که آیا توزیع اشتباه توکنهای COMP بصورت حمله برنامه ریزی شده بود یا یک اشتباه توسط توسعه دهندگان پروتکل. با این حال، رابرت لشنر، مدیرعامل کامپوند، در مورد آن خیلی فکر نکرد. چند ساعت پس از این حادثه، او به توییتر رفت و از گیرندگان وجوه خواست تا آنها را برگردانند. لشنر ۱۰ درصد از مبالغ را به عنوان پاداش برای بازگشت وعده داد و در همان توییت تهدید کرد که پاسخگویان را به IRS (سرویس درآمد داخلی ایالات متحده که مربوط به دولت فدرال است) گزارش خواهد کرد. دقیقاً مشخص نیست که چه مقدار از کل مبلغ از دست رفته به لطف تحرکات آنلاین لشنر بازیابی شده است، اما باید دید این پروژه در بیانیههای آیندهی خود در مورد آن چه میگوید.
۱۰. هک پالی نتوورک (Poly Network) – ۶۱۰ میلیون دلار (باز پس گرفته شده)
بزرگترین هک صنعت دیفای تا کنون، در ۱۰ آگوست ۲۰۲۱ رخ داد و مربوط به یک ارائه دهنده سواپ بین شبکهای به نام Poly Network بود. مهاجم یک قرارداد هوشمند را در این پلتفرم هک کرد و در مجموع ۶۱۰ میلیون دلار به آدرس های خود در اتریوم و BSC انتقال داد.
پول از هر سه شبکه مورد استفاده توسط Poly Network یعنی اتریوم، شبکه هوشمند بایننس و پالیگان تخلیه شد. ضرر وارده از شبکه اتریوم ۲۷۳، شبکه هوشمند بایننس ۲۵۳ و پالیگان ۸۵ میلیون دلار گزارش شده است. Poly Network از هکر درخواست کرد تا وجوه را برگرداند. روز بعد از حادثه، در ۱۱ آگوست، هکر حدود ۲۶۰ میلیون دلار را پس داد. در ۱۲ آگوست، هکر در یک گفتگوی آنلاین با پالی نتوورک شرکت کرد و خود را به عنوان “آقای کلاه سفید” معرفی کرد . یک روز بعد، این شخص به پلتفرم اطمینان داد که تمام وجوه باقیمانده را برمیگرداند و توجیه کرد که اقدامات او نتیجه نشان دادن آسیبپذیری پلتفرمهای رمزنگاری است.
تا ۲۳ آگوست، آقای کلاه سفید تمام وجوه هک شده را پس داده بود. در جریان گفتگوی عمومی آنلاین خود با Poly Network، به هکر ۵۰۰.۰۰۰ دلار همراه با مشارکت به عنوان مشاور امنیتی ارشد (CSA) این پلتفرم پیشنهاد شد. هر دوی پیشنهادات توسط عامل مرموز بزرگترین هک دیفای تاریخ رد شد.
بررسیها آماری بزرگ ترین هکهای DEFI در سال ۲۰۲۱
مبلغ ۱۰ هک برتر دیفای در سال بالغ بر ۱.۵ میلیارد دلار برآورد شده است. این رقم شامل وجوهی که به پلتفرم بازگردانده شده مانند هک Poly Network نیز است.
در حالی که در سال ۲۰۲۰ تنها شاهد ۱۶ هک دیفای بودیم، در سال ۲۰۲۱، ۵۵ مورد از این هکها وجود داشت.
میانگین اندازه هکها در سال ۲۰۲۱ نیز نسبت به رقم سال ۲۰۲۰ به میزان قابل توجهی افزایش یافته است. در حالی که در سال ۲۰۲۰، یک هک دیفای به طور متوسط منجر به ضرر ۸.۳ میلیون دلاری شد، رقم مربوطه برای سال ۲۰۲۱ نزدیک به ۳۶ میلیون دلار است.
در سال ۲۰۲۱ شاهد افزایش گسترده هکهای دیفای در مقایسه با سال ۲۰۲۰ بودیم. در این سال ، بزرگترین هک دیفای که تاکنون ثبت شده است اتفاق افتاد که خوشبختانه این وجوه برگردانده شده است. با این حال، متأسفانه سایر هک و سرقتهای انجام شده، هکرهای مهربانی نداشتند و وجوه بازیابی نشدند.
نتیجهگیری
در این مقاله درباره ۱۰ هک بزرگ در سال ۲۰۲۱ صحبت کردیم؛ چرا که همه این موارد یک یادآوری برای هر کاربر، توسعهدهنده یا اپراتور دیفای است تا بدانند مجرمان سایبری رمزارز همیشه به دنبال آسیبپذیریهای پلتفرم و ابزارهای دیفای برای سوءاستفاده از آنها هستند.
نکته: توجه داشته باشید این مقاله صرفا با هدف راهنمایی و آشنایی نوشته شده و آکادمی ارز دیجیتال اوکی ایکس مسئولیتی در مقابل تصمیمات افراد یا عواقب مالی آن ندارد.