یک حمله هکری دیگر: کانیک فایننس ۳.۶ میلیون دلار سرمایه از دست داد
پروتکل دیفای کانیک فایننس (Conic Finance) فاش کرد که در معرض یک سوء استفاده قرار گرفته و مهاجم بیش از ۱۷۰۰ ETH به ارزش ۳.۶ میلیون دلار را از یکی از Omnipool های به سرقت برده است. کانیک فایننس یک پلتفرم متعادلکننده نقدینگی برای پروتکل مالی غیرمتمرکز کرو (Curve) است.
جزئیات هک کانیک فایننس
به گفته شرکت امنیتی BlockSec، دلیل اصلی این حمله دستکاری قیمت ناشی از «ورود مجدد در حالت خواندن صرف» بود. ورود مجدد یک اشکال رایج است که به مهاجمان اجازه میدهد تا با فریب دادن آنها با تماسهای مکرر از قراردادهای هوشمند سوء استفاده کنند. هر تماس مجوزی برای یک قرارداد هوشمند برای تعامل با آدرس کیف پول کاربر است. Beosin منبع هشدار خطر Web3 اظهار داشت یک تراکنش تقریباً تمام مبلغ سرقتشده را به یک آدرس جدید اتریوم ارسال کرده است. کانیک فایننس با کاربران تماس گرفت و توییت کرد که در حال بررسی این حمله هکری هستند و بهزودی اطلاعات بیشتری را به اشتراک خواهند گذاشت.
ما در حال حاضر در حال بررسی یک حمله هکری مربوط به Omnipool اتر هستیم و در اسرع وقت اطلاعات بیشتر را به اشتراک خواهیم گذاشت.
شرکت امنیتی PeckShield نیز این حمله را تجزیه و تحلیل کرد و گفت علت اصلی ناشی از قرارداد جدید CurveLPOracleV2 این پروتکل است.
Curve که با کانیک فایننس برای پیگیری جزئیات این حمله همکاری میکند، بیان کرد مشکل اصلی شناسایی شده است و فقط Omnipool اتر تحت تأثیر قرار گرفته است.
Conic بعداً یک نسخه دقیق از رویدادها را در توییتر منتشر کرد و اظهار داشت که آنها از یک سوء استفاده که بر $crvUSD Omnipool تأثیر میگذارد آگاه شدهاند و اضافه کرد تمام اقدامات ایمنی ممکن را برای محدود کردن حمله انجام دادهاند.
تقریباً چهار ساعت پیش، ما از سوء استفادهای بر $crvUSD Omnipool مطلع شدیم. در واکنش به این موضوع و با توجه به سوء استفاده امروز از اتر، ما بلافاصله حداکثر اقدامات ایمنی را اعمال کردیم و به طور موقت همه Omnipool ها را تعطیل کردیم.
هکهای مکرر DeFi یک مشکل بزرگ است
اکوسیستم مالی غیرمتمرکز تحت تأثیر یک سری هکهای گسترده قرار گرفته و چندین پروژه بزرگ را تحت تأثیر قرار داده است. گزارشی از Portfolio De.Fi حجم این مشکلات را نشان داده است. این گزارشها بیان میکند هکها و کلاهبرداریهای DeFi منجر به سرقت بیش از ۲۰۰ میلیون دلار توسط مهاجمان تنها در سهماهه دوم سال ۲۰۲۳ شده است. با این حال، ضررهای ناشی از هکهای DeFi در سه ماهه دوم در مقایسه با سه ماهه اول سال ۲۰۲۳ کمتر بود. CertiK گزارش داد پروتکلها بین ژانویه تا مارس بیش از ۳۲۰ میلیون دلار از دست دادهاند.
کانیک فایننس اخیراً فعال شده بود و به کاربران اجازه میداد توکنها را به Omnipool های خود واریز کنند. Omnipools به کاربران امکان میدهد که سرمایهگذاری متنوعتری در اکوسیستم Curve داشته باشند، و پاداشها را افزایش دهند. پس از آن، Conic Finance توانست میلیونها دلار سرمایه جذب کند و تقاضای زیاد برای چنین محصولی را نشان دهد. Omnipool های Conic با تخصیص نقدینگی یک دارایی واحد در چندین استخر Curve کار میکنند. توکنهای ارائهدهنده نقدینگی منحنی (LP) روی Convex قرار میگیرند و پاداشهای CRV را افزایش میدهند.
پیشنهاد مطالعه: نگاهی به ریسک در صنعت غیر متمرکز مالی (DeFi)