هشدار هک دیفای: بهرهبرداری از قرارداد هوشمند Aperture Finance با ضرر 3.67 میلیون دلاری مواجه شد
پست هشدار هک دیفای: سوءاستفاده از قرارداد هوشمند Aperture Finance متحمل ضرر 3.67 میلیون دلاری شد اولین بار در Coinpedia Fintech News منتشر شد
پلتفرم دیفای Aperture Finance متحمل نقض امنیتی بزرگی شده و حدود 3.67 میلیون دلار در یک سوءاستفاده از قرارداد هوشمند از دست داده است. شرکت امنیت بلاکچین PeckShieldAlert نشان میدهد که هکر به طور فعال وجوه سرقت شده را از طریق Tornado Cash، یک سرویس ترکیب حریم خصوصی، جابجا میکند.
این فعالیت نگرانیهای جدیدی را در مورد بازیابی وجوه و نحوه وقوع هک واقعی ایجاد کرده است.
نحوه وقوع سوءاستفاده از Aperture Finance
طبق گزارش PeckShieldAlert، هک Aperture Finance در 1404/11/06 به دلیل ضعف در قراردادهای هوشمند V3 و V4 آن، همراه با تاییدیههای توکن کاربر موجود رخ داد.
در پلتفرمهای دیفای، کاربران اغلب به قراردادها اجازه میدهند توکنهای ERC-20 یا NFTهای موقعیت نقدینگی آنها را جابجا کنند تا معاملات و استراتژیها به طور خودکار اجرا شوند. اما در این مورد، سوءاستفادهکننده نقصی را در نحوه مدیریت این مجوزها و فراخوانی توابع توسط قرارداد پیدا کرد.
به جای شکستن کیف پولها یا سرقت کلیدهای خصوصی، مهاجم از منطق خود قرارداد برای راهاندازی انتقال داراییهای غیرمجاز استفاده کرد.
از آنجا که بسیاری از کاربران قبلاً تاییدیهها را اعطا کرده بودند، مهاجم میتوانست بدون نیاز به امضای جدید، وجوه را جابجا کند. این به آنها اجازه داد تا داراییهای مرتبط با توکنها و موقعیتهای نقدینگی تایید شده را تخلیه کنند.
انتقال وجوه به Tornado Cash پس از هک
و همه اینها منجر به استخراج 3.67 میلیون دلار ارزش شد، مهاجم سهم بزرگی را به ETH تبدیل کرد و حدود 1,242 ETH را به Tornado Cash ارسال کرد تا ردیابی را پنهان کند.
مهاجمان اغلب از خدمات ترکیب مانند Tornado Cash برای پنهان کردن منشأ کریپتوی سرقت شده استفاده میکنند و ردیابی را دشوارتر میکنند. وجوه در چندین تراکنش کوچک، از جمله دستههای 10 ETH و 100 ETH، ارسال شدند که روشی رایج برای جلوگیری از توجه است.
از کاربران خواسته شد تاییدیههای توکن و NFT را لغو کنند
پس از این سوءاستفاده، تیم Aperture Finance یک اطلاعیه اضطراری منتشر کرد و فهرستی از آدرسهای قرارداد آسیبدیده را به اشتراک گذاشت. همچنین به کاربران هشدار داد که فوراً هر دو تاییدیه توکن ERC-20 و تاییدیههای موقعیت نقدینگی ERC-721 مرتبط با آدرسهای پرخطر را لغو کنند.
تاییدیههای کیف پول به قراردادهای هوشمند اجازه میدهند وجوه کاربر را جابجا کنند، و اگر فعال باقی بمانند، پس از به خطر افتادن یک قرارداد میتوانند مورد سوءاستفاده قرار گیرند.
محتوای پیشنهادی
انتقال USDT بازار را شوکه کرد: حرکت نهنگ ۵۰۰ میلیون دلاری از OKX بررسی شدید را برانگیخت
واکنش به ممنوعیت تلگرام در ایران: افزایش استفاده از VPN و BitChat
