هک 5 میلیون دلاری 1inch به دلیل آسیب‌پذیری قرارداد هوشمند

هک 1inch: سرقت 5 میلیون دلاری به دلیل آسیب‌پذیری قراردادهای هوشمند

در تاریخ 5 مارس، پلتفرم 1inch یک آسیب‌پذیری را شناسایی کرد که بر روی ریزش‌ها، که مسئول پر کردن سفارشات هستند، تأثیر می‌گذارد. این آسیب‌پذیری به دلیل استفاده از پیاده‌سازی قدیمی Fusion v1 بود که یک روز بعد به‌صورت عمومی منتشر شد.

این صرافی غیرمتمرکز، 1inch، تأیید کرد که هکری با سوءاستفاده از یک آسیب‌پذیری در قراردادهای هوشمند، 5 میلیون دلار ارز دیجیتال را سرقت کرده است.

جزئیات هک 5 میلیون دلاری 1inch

در تاریخ 7 مارس، شرکت امنیت بلاک‌چین SlowMist از طریق یک تحقیق در زنجیره، دریافت که هکر 1inch موفق به سرقت 2.4 میلیون USDC و 1,276 توکن Wrapped Ether (WETH) شده است.

طبق اعلام 1inch، این هک فقط از ریزش‌هایی که از Fusion v1 در قراردادهای خود استفاده می‌کردند، انجام شده و وجوه کاربران نهایی در امان بوده است:

“ما به‌طور فعال با ریزش‌های آسیب‌دیده همکاری می‌کنیم تا سیستم‌های خود را ایمن‌سازی کنیم. از همه ریزش‌ها می‌خواهیم که به‌سرعت قراردادهای خود را بررسی و به‌روزرسانی کنند.”

این پلتفرم همچنین برنامه‌های پاداش برای یافتن آسیب‌پذیری‌های دیگر در سیستم‌های خود را اعلام کرده و در تلاش است تا وجوه سرقت شده را بازیابی کند.

چالش‌های بازیابی وجوه سرقت شده

تلاش 1inch برای بازپس‌گیری وجوه سرقت شده ممکن است با چالش‌های زیادی مواجه شود مگر اینکه هکر موافقت کند که وجوه را برگرداند. در گذشته، پروتکل‌های رمزارزی که هک شده‌اند، موفق به بازیابی وجوه خود شده‌اند، به‌شرطی که هکرها به بازگرداندن 10 درصد از وجوه به‌عنوان پاداش سفیدپوشی توافق کرده باشند؛ همان‌طور که در مورد وام‌دهنده رمزارزی Shezmu مشاهده شد.

با این حال، هکرهای کره شمالی که مسئول هک 1.5 میلیارد دلاری Bybit هستند، توانستند تمام مبلغ را به سرقت ببرند، با وجود تلاش‌های هماهنگ جامعه رمزارزی برای بازیابی ضررها.

Bybit و تلاش برای بازسازی

با وجود از دست دادن ناگهانی وجوه، Bybit توانست به کاربران خود امکان برداشت بی‌وقفه وجوه را بدهد و این کار را با دریافت وام از سایر شرکت‌های رمزارزی انجام داد، که در تاریخ‌های بعدی بازپرداخت شدند.

هکرهای Bybit برای شستشوی 1.4 میلیارد دلار ارزهای دیجیتال سرقت شده، 10 روز زمان صرف کردند. برخی از وجوه شسته شده ممکن است هنوز قابل ردیابی باشند، با وجود تبادل دارایی‌ها. به گفته ددی لاوید، هم‌بنیان‌گذار و مدیرعامل شرکت امنیت بلاک‌چین Cyvers:

“در حالی که شستشوی دارایی‌ها از طریق میکسرها و تبادل‌های کراس‌چین، بازیابی را پیچیده می‌کند، شرکت‌های امنیت سایبری که از هوش مصنوعی و مدل‌های مبتنی بر زنجیره استفاده می‌کنند و با صرافی‌ها و نهادهای نظارتی همکاری می‌کنند، هنوز فرصت‌های کوچکی برای ردیابی و احتمالاً مسدود کردن دارایی‌ها دارند.”

THORChain، یک پروتکل تبادل کراس‌چین که به‌طور گسترده‌ای توسط هکرها برای سرقت وجوه استفاده شده بود، پس از هک Bybit شاهد افزایش فعالیت بود.

پیشگیری از هک‌های آینده

بسیاری از کارشناسان امنیت بلاک‌چین بر این باورند که با افزایش تعداد هک‌ها، نیاز به بررسی و به‌روزرسانی منظم قراردادهای هوشمند از اهمیت بیشتری برخوردار است. ایجاد برنامه‌های پاداش برای کشف آسیب‌پذیری‌ها و همکاری نزدیک با تیم‌های امنیتی می‌تواند به کاهش خطرات کمک کند.

در نهایت، اکوسیستم رمزارزها باید با چالش‌های امنیتی خود مقابله کند و به سمت ایجاد پلتفرم‌های امن‌تر حرکت کند تا از آسیب‌پذیری‌های مشابه در آینده جلوگیری شود.