پلتفرم سنتیمنت (Sentiment) که خدمات وامدهی و استقراض را در شبکه لایه 2 آربیتروم ارائه میدهد، در 4 آوریل (15 فروردین) مورد سوء استفاده قرار گرفت و نزدیک به 1 میلیون دلار متضرر شد.
مهاجم از باگ ورود مجدد در بالانسر (Balancer)، پروتکل نقدینگی که سنتیمنت با آن ادغام میشود، برای اجرای تراکنشهای جعلی و تخلیه وجوه از پلتفرم استفاده کرد.
طبق حساب رسمی توییتر سنتیمنت، تیم متوجه فعالیت غیرعادی استقراض در حدود ساعت 6 بعد از ظهر UTC در 4 آوریل شد و بلافاصله قرارداد اصلی را متوقف کرد تا از ضرر بیشتر جلوگیری شود.
این تیم همچنین از کارشناسان امنیتی شرکت PeckShield کمک گرفت. آنها ماهیت و وسعت حمله را تأیید کردند و برای باگ راه حلی ارائه کردند.
سنتیمنت گفت کاربران اکنون میتوانند بدهیهای خود را بازپرداخت و وجوه خود را برداشت کنند. این شرکت گفت با مجریان قانون و سایر آژانسها برای ردیابی هکر و بازیابی داراییهای رمزارزی سرقتشده همکاری میکند.
پکشیلد مشاور امنیتی پلتفرم سنتیمنت، تجزیه و تحلیل دقیقی از این حمله را در وبلاگ خود منتشر کرد و توضیح داد که چگونه مهاجم از یک باگ ورود مجدد در بالانسر برای دستکاری موجودیهای استخر و وثیقه بیش از حد برای وامهای خود در سنتیمنت سوءاستفاده کرده است.
به گفته پکشیلد، مهاجم سپس از وامهای فلش برای قرض گرفتن و نقد کردن مقادیر زیادی توکن از سنتیمنت استفاده کرد و حدود 1 میلیون دلار رمزارز به دست آورد.
سوءاستفادهها از DeFi در حال افزایش است
حمله به سنتیمنت آخرین مورد از سرقتهایی است که پلتفرمهای DeFi را هدف قرار میدهند. در 13 مارس، اویلر فایننس (Euler Finance) مورد حمله وام فلش قرار گرفت که منجر به از دست دادن 197 میلیون دلار از داراییهای دیجیتال شد.
شرکت تجزیه و تحلیل پکشیلد اعلام کرد هکر احتمالاً از نقص در منطق کمک مالی و انحلال اویلر فاینانس برای سرقت پول استفاده کرده است. با این حال، هکر وجوه دزدیده شده را پس از هفتهها با پیشنهاد جایزه میلیون دلاری از سوی اویلر، تهدید به اقدام قانونی پس داد.
هکرها و کلاهبرداران در سال 2022 بیش از 3 میلیارد دلار به صنعت کریپتو ضرر وارد کردند و امسال هم شاهد افزایش مجدد این سرقتها و کلاهبرداریها هستیم. تنها در ماه گذشته، هکرها بیش از 21 میلیون دلار از پروتکلهای DeFi سرقت کردند.
پیشنهاد مطالعه: نگاهی به ریسک در صنعت غیر متمرکز مالی (DeFi)
