از 45 تا 610 میلیون دلار؛ 10 هک برتر ارزهای دیجیتال در سال 2021

در سال 2021، به دلیل حملات سایبری شاهد ضرر تقریباً 2 میلیارد دلاری ارز دیجیتال بودیم. جالب است بدانید که ارقام گزارش شده فقط مربوط به حملات گزارش شده است و بسیاری از حملات هک ارزهای دیجیتال به دلایل مختلف گزارش نمی شوند.

با نگاهی به گزارش‌های ارائه شده، متوجه یک مشکل می‌شویم و آن افزایش خیره‌کننده بیش از 1300 درصدی حملات هک ارزهای دیجیتال نسبت به سال گذشته است. در سال 2020، یکی از بزرگترین حملات تا آن زمان، ضرر 34 میلیون دلاری Harvest Finance در یک حمله “بازپرداخت سریع” بود که در مقایسه با هک های 2021 کمرنگ است.

در زیر، نگاهی به 10 هک بزرگ در فضای ارزهای دیجیتال، از جمله بزرگترین حمله امنیتی DeFi به ارزش بیش از 600 میلیون دلار می اندازیم که در کمال تعجب برای همه طرف ها با خوشی به پایان رسید! در این مقاله با دیجی کالا مگ همراه باشید تا این حملات را با هم بررسی کنیم.

شماره 10: کلوچه / 45 میلیون دلار از دست دادن سرمایه

در 19 می 2021، PancakeBunny، یکی از پروتکل‌های DeFi زنجیره هوشمند Binance و Polygon، قربانی یک حمله وام پرداخت شد. هکر مقدار زیادی BNB را در PancakeSwap قرض گرفته است. او سپس اقدام به دستکاری قیمت USDT/BNB و BUNNY/BNB و کرد   در نهایت، هکری که مقدار زیادی توکن BUNNY را از طریق وام سریع دریافت کرد، تمام سکه های BUNNY خود را در بازار فروخت و باعث کاهش قیمت شد. در نهایت، هکر BNB های قرض گرفته شده را از طریق PancakeSwap برگرداند. این حمله منجر به از دست دادن دارایی های بزرگ به ارزش 45 میلیون دلار شد.

شماره 9: تامین مالی اورانیوم / 50 میلیون دلار سرمایه از دست رفته

Uranium Finance یک صرافی غیرمتمرکز (DEX) زنجیره هوشمند بایننس (BSC) است. در پایان آوریل 2021، این پلتفرم 50 میلیون دلار سرمایه در طول فرآیند ارتقاء خود از دست داد. در این حمله ابتدا توکن‌های DOT و ADA از طریق صرافی غیرمتمرکز Pancake Swap به اتر تبدیل شدند و سپس زنجیره هوشمند بایننس اتر با استفاده از پروتکل AnySwap به ETH شبکه اتریوم تبدیل شد.

تمام 80 بیت کوین از این طریق برداشت شد. این احتمال وجود دارد که حمله توسط یکی از اعضای تیم انجام شده باشد، زیرا فرآیند هک کلاه سفید (تست نفوذ توسط کارشناسان امنیتی) قبل از به روز رسانی پروتکل مالی Uranium و مهاجرت به نسخه دیگر انجام نشده است.

پس از این حمله، اورانیوم با استناد به ادعاهایی مبنی بر ماهیت داخلی هک، مروری بر این حمله در صفحه Medium خود منتشر کرد. با وجود درخواست‌های تیم امنیتی BSC برای کمک به شناسایی مهاجم یا جلوگیری از خروج وجوه از زنجیره، مقدار دارایی‌های دزدیده شده از آن زمان بازیابی نشده است.

شماره 8: تأمین مالی کمربند / 50 میلیون دلار سرمایه از دست رفته

تنها یک ماه پس از حمله به Uranium Finance، یک DEX دیگر مبتنی بر زنجیره هوشمند Binance به نام Belt Finance نیز مورد حمله قرار گرفت که منجر به خسارت 50 میلیون دلاری شد. این در نتیجه حمله وام پرداختی رخ داد.

مهاجم از پلتفرم PancakeSwap برای دستکاری وام های فوری استفاده کرد. استخر BeltBUSD بیشترین آسیب را متحمل شد، جایی که هکر 6.2 میلیون دلار از مجموع ضرر 50 میلیون دلاری را سرقت کرد. مانند حمله مالی Uranium، هکر ناشناخته باقی مانده و وجوه دزدیده شده بازیابی نشده است.

شماره 7: BZX / سرمایه 55 میلیون دلار از دست داد

bZx، یک پروتکل غیرمتمرکز تجارت حاشیه در شبکه‌های BSC و Polygon، سه حمله مخرب را در سال 2020 تجربه کرد. bZx تا نوامبر 2021 بدون مشکلات امنیتی عمده کار می‌کرد، اما در 5 نوامبر، زمانی که کلید خصوصی آن به دست یک کاربر افتاد، پروتکل هک شد. دزد و مهاجم 55 میلیون دلار سرقت کردند. در این حمله، هک هر دو شبکه Polygon و bZx را تحت تاثیر قرار داد.

معاملات مارجین (Margin Trading) روشی برای معامله دارایی‌ها با استفاده از سرمایه ارائه شده توسط شخصی ثالث (صرافی) است. در مقایسه با حساب‌های معاملات نقدی یا اسپات، حساب‌های مارجین به معامله‌گران اجازه می‌دهد تا به مبالغ بیشتری از سرمایه دسترسی داشته باشند و تا بتوانند از آن‌ها به عنوان اهرم برای باز کردن موقعیت‌های معاملاتی (شورت یا لانگ) خود استفاده کنند. اساسا، معاملات مارجین نتایج معاملات را تقویت می‌کنند تا معامله‌گران بتوانند در معاملات موفق خود به سودهای بیشتری دست یابند البته باید خاطر نشان کرد در صورت ضرر هم ضررها از نوع بسیار سنگین یا از بین رفتن دارایی (لیکویید شدن) خواهد بود.

سه روز پس از حمله، bZx اعلام کرد که با صرافی‌های ارزهای دیجیتال برای بازیابی وجوه دزدیده شده همکاری می‌کند، اما این تلاش‌ها تاکنون هیچ نتیجه‌ای برای بازنده‌ها نداشته است. در همین حال، در اخبار جدیدتر، bZx و Ooki، یکی دیگر از پروتکل های معاملاتی حاشیه، ظاهرا با هم ادغام شده اند و توکن BZRX bZx به پلتفرم Ooki پورت شده است. این حرکت احتمالاً پایان bZx را به عنوان یک پروتکل مستقل نشان می دهد.

شماره 6: EASYFI / سرمایه 59 میلیون دلار از دست داد

پروتکل اعطای وام چند زنجیره ای لایه 2 EasyFi در آوریل 2021 با فاش شدن کلید خصوصی کیف پول Metamesh آن که توسط مدیر عامل پلتفرم آنکیت گاور اداره می شد، حدود 80 میلیون دلار از دست داد. هکر وجوهی را از کیف پول رسمی EasyFi به سرقت برد و این ضرر شامل حدود 6 میلیون دلار استخرهای استیبل کوین در پلتفرم و 53 میلیون دلار در توکن های EASY اصلی آن بود.

چهار روز پس از این رویداد، EasyFi توکن EASY را بازنشسته کرد و یک توکن جدید EZ را برای جایگزینی آن به عنوان بخشی از هارد فورک پلتفرم معرفی کرد. هک استخرهای EasyFi شبکه های Polygon، زنجیره هوشمند Binance و Ethereum را تحت تاثیر قرار داد. مانند هکرهای ذکر شده در بالا، مهاجم این سرقت نیز شناسایی نشد.

شماره 5: BADGERDAO / سرمایه 120 میلیون دلار از دست داد

Badger یک پروتکل وام دهی است که در شبکه اتریوم قرار دارد و از بیت کوین به عنوان وثیقه استفاده می کند. این پلتفرم در اوایل دسامبر 2021 به دلیل حمله به رابط کاربری خود 120 میلیون دلار از دست داد. این حمله بر وجوه ده ها کاربر تأثیر گذاشته است و بعید است که این وجوه به کاربران بازگردانده شود.

Badger از Nexus Mutual بیمه دارد تا برخی از هک‌های احتمالی را پوشش دهد، اما این بیمه فقط هک قرارداد هوشمند را پوشش می‌دهد، نه نقض‌های جلویی. Nexus Mutual اعلام کرده است که این حمله به عنوان یک حمله “front-end” طبقه بندی شده است، بنابراین هیچ غرامتی به قربانیان پرداخت نخواهد شد.

شماره 4: شبکه پرداخت شده / دارایی از دست رفته 127 میلیون دلار

پلتفرم آنلاین پولی یک برنامه غیرمتمرکز اتریوم (DApp) است که خدمات تسویه حساب مبتنی بر قرارداد هوشمند را برای مشاغل ارائه می دهد. این پروژه با استفاده از کلید خصوصی سرقت شده هک شد.

با این کلید، مهاجم نسخه اصلاح شده قرارداد هوشمند اولیه را جایگزین پلتفرم کرد و توانست توکن های موجود را بسوزاند و تعداد زیادی توکن جدید ایجاد کند. برخی از توکن‌های تازه تولید شده قبل از اینکه در UniSwap شناسایی شوند به ETH تبدیل شدند.

شماره 3: CREAM FINANCE / 130 میلیون دلار سرمایه از دست رفته

در اواخر اکتبر، Cream Finance، یک پروتکل وام دهی چند زنجیره ای، مورد حمله وام فوری قرار گرفت که حدود 130 میلیون دلار از استخرهای نقدینگی مبتنی بر اتریوم آن به سرقت رفت. این گزارش برای صندوق های دیگر زنجیره ها مانند BSC، Phantom، Polygon و Avalanche منتشر نشده است.

از آنجایی که در بیانیه رسمی این پلتفرم فقط به استخرهای اتریوم اشاره شده است، این احتمال وجود دارد که این حمله فقط استخرهایی را در بزرگترین زنجیره DeFi جهان هدف قرار داده باشد. این سومین هک Cream Finance در سال جاری بود، زیرا تنها دو ماه قبل از هک 130 میلیون دلاری، این پلتفرم هک شد و دارایی‌های 19 میلیون دلاری از جمله در حمله وام‌های پرداختی به سرقت رفت.

شماره 2: تأمین مالی ترکیبی / 147 میلیون دلار سرمایه از دست رفته

پلتفرم Compound Finance یک پروتکل وام دهی و وام دهی مبتنی بر اتریوم و یکی از بزرگترین پروژه های DeFi با ارزش دارایی قفل شده (TVL) بیش از ۷ میلیارد دلار در زمان نگارش مقاله است. در 30 سپتامبر 2021، این پروتکل به اشتباه مبالغ هنگفتی را در ارز رمزنگاری شده بومی خود COMP به برخی از کاربرانی که تنها سپرده‌های کوچکی در ETH، USDC و DAI انجام داده بودند، پرداخت کرد. این ادعا که خطای قرارداد هوشمند باعث از دست رفتن 147 میلیون دلار دارایی شده است برای بسیاری از کارشناسان و کاربران مشکوک به نظر می رسید.

هنوز مشخص نیست که آیا توزیع نادرست توکن های COMP یک حمله برنامه ریزی شده بود یا یک اشتباه توسط توسعه دهندگان پروتکل. با این حال، رابرت لشنر، مدیر عامل Compound Finance، به راه دیگری برای بازیابی وجوه کاربران متوسل شد. چند ساعت پس از این حادثه، او با ارسال توییتی از گیرندگان وجوه خواست تا اموال مسروقه را پس دهند. لشنر 10 درصد از مبالغ را به عنوان پاداش برای بازگشت وعده داد و در همان توییت تهدید کرد که در صورت انجام این کار، تمام کیف پول های حاوی اموال مسروقه را به IRS (سرویس درآمد داخلی ایالات متحده، که بخشی از دولت فدرال است) خواهد داد. . من همکاری نمی کنم، گزارش ها مشخص نیست که چه مقدار از کل مبلغ از دست رفته به لطف کلاهبرداری های آنلاین لشنر بازیابی شده است، اما باید دید پروژه در بیانیه های آینده در مورد آن چه خواهد گفت.

شماره 1: POLY NETWORK / سرمایه از دست رفته 610 میلیون دلار (بازیابی شده)

بزرگترین هک تا به امروز در صنعت DeFi در 10 آگوست 2021 اتفاق افتاد و شامل یک ارائه دهنده خدمات مبادله بین شبکه ای به نام Poly Network بود. یک مهاجم یک قرارداد هوشمند را در این پلتفرم هک کرد و در مجموع 610 میلیون دلار به آدرس‌های اتریوم و زنجیره هوشمند بایننس منتقل کرد.

پول از هر سه شبکه مورد استفاده توسط Poly Network، Ethereum، Binance Smart Chain و Polygon به سرقت رفته است. ضرر شبکه اتریوم 273، بایننس زنجیره هوشمند 253 و Polygon 85 میلیون دلار است. Poly Network از هکر درخواست کرد که وجوه را برگرداند. روز بعد از این رویداد، در 11 آگوست، هکر تقریباً 260 میلیون دلار بازگشت و در 12 آگوست، هکر در یک چت آنلاین با شبکه پولی شرکت کرد و خود را به عنوان “آقای کلاه سفید” معرفی کرد. یک روز بعد، شخص به پلتفرم اطمینان داد که تمام وجوه باقی مانده را برمی گرداند و اظهار داشت که اقدامات او به دلیل افشای آسیب پذیری پلتفرم های رمزنگاری بوده است.

تا 23 آگوست، آقای کلاه سفید تمام وجوه هک شده را پس داده بود. اما این پایان ماجرا نبود و در طی یک گفتگوی Poly Network، به هکر پاداش 500000 دلاری و همچنین مشارکت با این پلتفرم به عنوان مشاور ارشد امنیت (CSA) پیشنهاد شد که هر دوی آنها توسط بزرگترین شرکت رد شد. هکر DeFi در تاریخ

بررسی آماری بزرگترین هکرهای DeFi در سال 2021

10 هک برتر DeFi حدود 1.5 میلیارد دلار در سال درآمد دارند. این رقم همچنین شامل وجوهی است که به پلتفرم بازگردانده شده است، مانند هک Poly Network.

همانطور که از تصویر زیر می بینید، در سال 2020 شاهد 16 هک DeFi بودیم. اما در سال 2021، این حملات به 55 مورد رسیده است.

میانگین مقدار دارایی های از دست رفته در هر حمله در سال 2021 نیز نسبت به سال 2020 افزایش قابل توجهی داشته است. در حالی که در سال 2020 هک DeFi به طور متوسط ​​منجر به ضرر 8.3 میلیون دلاری شد، در سال 2021 رقم مربوطه تقریباً 36 میلیون دلار است.

سال 2021 شاهد افزایش زیادی در هک DeFi در مقایسه با سال 2020 بود. امسال شاهد بزرگترین هک DeFi بودیم که تا کنون ثبت شده است، خوشبختانه وجوه بازیابی شد. متأسفانه، سایر هک ها و سرقت ها شامل هکرهای دوست نبوده و هیچ وجهی نیز بازیابی نشده است. همه اینها به هر کاربر، توسعه‌دهنده یا اپراتور DeFi یادآوری می‌کند که مجرمان سایبری ارزهای دیجیتال همیشه به دنبال آسیب‌پذیری‌های پلتفرم و ابزارهای DeFi برای سوءاستفاده هستند.