حمله هکری به پروتکلهای دیفای با سوءاستفاده از آسیبپذیریهای زبان برنامهنویسی Vyper
آسیبپذیری زبان برنامهنویسی Vyper دلیل اصلی هکهای اخیر در پروتکلهای دیفای BNB Smart Chain و Curve Finance بوده است. مسألهای که تاکنون باعث ایجاد میلیونها دلار خسارت شده است.
هکرها از آسیبپذیری این زبان برنامهنویسی شناختهشده که به طور گسترده برای توسعه پروژههای Web3 و ماشین مجازی اتریوم ایجاد شده، استفاده کردند تا به دو پروتکل زنجیره هوشمند بایننس و Curve Finance حمله کنند.
Vyper شباهتهای زیادی با پایتون دارد، چیزی که آن را به نقطه شروع مشترکی برای توسعهدهندگان پایتون که به سراغ دیفای میروند تبدیل میکند.
هکهای اخیر با شناسایی و سوءاستفاده از نقص قفل ورود مجدد Vyper در نسخههای 0.2.15، 0.2.16 و 0.3.0 که با مشکلات و نقضهای متعدد در پروتکلهای مختلف همراه بوده، اتفاق افتاده است.
تاکنون میزان خسارتهای وارد شده در پلتفرمهای مختلف چشمگیر و قابل توجه بوده است. در پلتفرم زنجیره هوشمند بایننس حملات متعددی به دلیل آسیبپذیری قفل ورود مجدد در تعدادی از نسخههای Vyper مشاهده شده و براساس گزارش شرکت BlockSec میزان سرقت در این پلتفرم حدود 41 میلیون دلار برآورد شده است.
پلتفرم Curve Finance، یکی دیگر از پروتکلهای دیفای هم در همان روز متحمل خسارتی بیشتر از زنجیره هوشمند بایننس شد. چندین مورد از استخرهای آن با استفاده از نسخههای آسیب دیده Vyper مورد سوءاستفاده قرار گرفت و بیش از 47 میلیون دلار ضرر کرد. همانطور که Curve در توییتر تایید کرد، در مجموع 32 میلیون توکن CRV به ارزش بیش از 22 میلیون دلار از استخر معاملات آن تخلیه شد.
قفل ورود مجدد یکی از احزای بسیار مهم و حیاتی است که باید مانع اجرای همزمان چندین عملکرد شود. وقتی این مورد به درستی اجرا شود میتوان از حملههای هکرها جلوگیری کرد. اما در برخی از نسخههای Vyper، این قفل به درستی پیادهسازی نشده و همین امر تعدادی از استخرهای دیفای را مستعد حمله هکرها کرده است.
تعدادی دیگر از پروژه دیفای مانند Ellipsis نیز خسارتهایی را گزارش دادهاند.
پیشنهاد مطالعه: هرآنچه که برای سرمایهگذاری در دیفای باید بدانید!
