سرقت ۲۴ میلیون دلار از دو پلتفرم ارز دیجیتال به کمک گیت‌هاب

هکرها موفق شدند به کمک باگی در گیت‌هاب منتشر شده، نزدیک ۲۵ میلیون دلار رمزارز از دو پلتفرم ارز دیجیتال Uniswap و Lendf.me به سرقت ببرند. این حملات در ابتدای هفته جاری رخ داده و گفته می‌شود که توسط یک گروه یا شخص برنامه‌ریزی شده باشد.

بر اساس تحقیقاتی که منتشر شده، به نظر می‌رسد هکرها از چندین باگ و ویژگی‌هایی متداول که در تکنولوژی‌های مختلف بلاکچین قرار دارد استفاده کرده و چندین «حملات بازگشت‌پذیر» پیچیده را ترتیب داده‌اند. حملات بازگشت‌پذیر (Reentrancy attack) به حملاتی گفته می‌شود که هکر پیش از انجام تراکنش اصلی، میزان زیادی پول برداشت می‌کند. به عبارت ساده‌تر یعنی زمانی که تراکنش در حال صحت‌سنجی است، هکر از فاصله بین انجام تراکنش تا تایید آن سوءاستفاده کرده و صدها تراکنش یکسان را انجام می‌دهد.

گفته می‌شود Uniswap بین ۳۰۰ هزار الی ۱.۱ میلیون دلار ارز دیجیتال از دست داده، در حالی که این رقم برای Lendf.me به ۲۴.۵ میلیون دلار می‌رسد. هکرها به کمک حملات بازگشت‌پذیر ارز دیجیتال را از این دو پلتفرم استخراج کرده و به کیف پول خود انتقال دادند. بلافاصله پس از آن نیز ارز دیجیتال دزدیده شده به حساب‌های دیگر منتقل شده است.

بر اساس تحقیقاتی که صورت گرفته، مشخص شده است که روش‌های هک هر دو پلتفرم Uniswap و Lendf.me یکسان بوده و شامل روش‌های زیر می‌شود:

• پروتکل Lendf.me: یک پروتکل سرمایه‌گذاری غیرمتمرکز است که توسط انجمن dFroce توسعه داده شده و  فعالیت‌های واگذاری وام را بر بستر اتریم، مدیریت می‌کند.
• imBTC: توکنی است که بر بستر اتریم قرار داشته و ارزش آن با بیت کوین از نسبت ۱:۱ پیروی می‌کند.
• ERC-777: یکی از تکنولوژی‌های زیرساختی بستر اتریم است که قراردادهای هوشمند را پشتیبانی می‌کند (هر دو پلتفرم Uniswap و Lendf.me به عنوان نوعی از قرارداد هوشمند در پلتفرم اتریم به حساب می‌آیند).

یکی از سخنگویان کمپانی «TokenIon» که تکنولوژی imBTC را توسعه داده می‌گوید «استاندارد توکن ERC-777 تا جایی که ما می‌دانیم هیچ گونه آسیب‌پذیری امنیتی ندارد. با این حال ترکیب توکن ERC-777 و قراردادهای هوشمند Uniswap و Lendf.me می‌تواند منجر به آغاز حملات بازگشت‌پذیر شود». این کمپانی معتقد است که هکرها از اکسپلویتی که در تابستان در گیت‌هاب منتشر شده استفاده کرده‌اند.

این اکسپلویت ابتدا توسط کمپانی «OpenZeppelin» منتشر شده که به صورت دوره‌ای امنیت پلتفرم‌های ارز دیجیتال را بررسی می‌کند. هر دو وب سایت اکنون از دسترس خارج شده‌اند تا از حملات بعدی جلوگیری کند. کمپانی TokenIon نیز تمامی تراکنش‌های imBTC خود را متوقف کرده تا هکرها نتوانند از آن برای حمله به دیگر پلتفرم‌ها استفاده کنند.