طبق گزارشات منتشر شده از شرکت امنیتی بلاکچین Cyvers Alerts، یک سوءاستفاده در بلاکچین بیس (Base blockchain)، آسیبپذیریهای عمدهای را فاش کرد که در پی آن، ۱ میلیون دلاری سرقت شد. این سوءاستفاده که شامل قراردادهای وامدهی تایید نشده در بلاکچین بیس بود، زنگ خطرهای امنیتی را در دیفای (DeFi) به صدا درآورد.
این گزارش توضیح میدهد که مهاجم با بهرهگیری از یک آسیبپذیری در قراردادهای هوشمند مرتبط با Wrapped Ether با نماد (WETH)، موفق شد قیمت را دستکاری کند و داراییها را به سرقت ببرد. این هکر، اولین تراکنش خود را با ۹۹۳.۵۳۴ هزار دلار از قراردادهای وامدهی تایید نشده از بلاکچین بیس خارج کرد. سپس بیشتر وجوه سرقت شده را به شبکه اتریوم منتقل کرد و ۲۰۲.۵۴۹ هزار دلار را به سرویس حریم خصوصی Tornado Cash انتقال داد. همچنین ۴۵۵.۱۲۷ دلار دیگر با استفاده از همین روش سرقت شد.
هاکان اونال (Hakan Unal) رهبر ارشد SOC در Cyvers Alerts در همین زمینه توضیح داد:
اوراکلی که این قراردادها استفاده میکردند مقاوم نبوده و تنها به یک جفت با نقدینگی محدود، حدود ۴۰۰ هزار داری متکی بود که آن را در برابر نوسانات قیمتی که میتوانست دستکاری شود، آسیبپذیر میکرد.
با این توصیفات، این سرقت، خطرات وسیعتری را که به پلتفرمهای مالی غیرمتمرکز (DeFi) مربوط است و قادر به پیادهسازی تدابیر امنیتی قوی نیستند، نمایان میکند. اونال در همین رابطه گفت میتوان با استفاده از یک اوراکل معتبرتر و متنوعتر و با نقدینگی بالاتر برای پیشگیری از دستکاری قیمت استفاده کرد تا از حملات مشابه در آینده بهویژه داراییهایی مانند WETH جلوگیری شود.
هاکان اونال در آخر، ضمن اشاره به مقصر بودن نهاد مدیریتکننده قراردادهای وامدهی تایید نشده و افرادی که مسئول انتخاب این اوراکل ضعیف بودن، گفت:
تاکنون مهاجم هنوز شناسایی نشده اما قطعا این حادثه نیاز به بهبودی امنیتی برای حفاظت وجوه کاربران را برجستهتر از قبل میکند.
منبع: cointelegraph
