بررسی هک اخیر متاپول (Meta Pool)؛ سیستم‌های هشدار سریع، نجات‌بخش بودند

یک هکر توانست از حمله‌ای به پروتکل متاپول (Meta Pool) حدود ۱۳۲,۰۰۰ دلار به‌دست آورد؛ این در حالی است که این حمله امکان سرقت توکن‌هایی به ارزش ۲۷ میلیون دلار را فراهم کرده بود. دلیل ناکامی این حمله، نقدینگی پایین و توقف قرارداد هوشمند آسیب‌دیده عنوان شده است.

به گزارش میهن بلاکچین، تیم متاپول در پست وبلاگی خود در روز سه‌شنبه اعلام کرده که این هکر موفق شد ۹,۷۰۵ توکن mpETH (توکن بومی این پروتکل) به ارزش تقریبی ۲۷ میلیون دلار ضرب کند؛ اما نهایتاً تنها حدود ۵۲.۵ اتر (ETH) از استخرهای نقدینگی سوآپ خارج کرد که ارزش آن اندکی بیش از ۱۳۲,۰۰۰ دلار بوده است.

هکر از قابلیت «خروج سریع از استیکینگ» سوءاستفاده کرد

تیم متاپول توضیح داد که برخی از استخرها نقدینگی و حجم پایینی داشتند و این موضوع اجرای کامل حمله را دشوارتر کرد. همچنین، سیستم‌های شناسایی سریع این پروتکل باعث شدند تیم توسعه‌دهنده بتواند به‌موقع قرارداد آسیب‌دیده را متوقف و از وقوع خسارت‌های بیشتر جلوگیری کند.

کلودیو کاسیو (Claudio Cossio)، هم‌بنیان‌گذار متاپول، روز سه‌شنبه در شبکه اجتماعی X اعلام کرد که این هکر از قابلیت خروج سریع از استیکینگ (Fast Unstake) سوءاستفاده کرده و توانسته هزاران توکن mpETH ضرب کند. با این قابلیت، فرد می‌تواند بدون انتظار، دارایی‌های استیک‌شده را آزاد کند، البته اگر شرایط خاصی برقرار باشد.

شرکت امنیتی پک شیلد (PeckShield) هم اعلام کرد که در این قرارداد استیکینگ، یک باگ (نقص) بحرانی وجود داشته است و این نقص به مهاجم اجازه داده بود بدون پرداخت هزینه، توکن mpETH ضرب کند؛ اما به‌دلیل حجم نقدینگی پایین، میزان سود حاصل محدود شد.

تیم متاپول اعلام کرد که مهاجم از تابع mint در استاندارد ERC4626 برای ضرب غیرمجاز توکن‌ها استفاده کرده است.

هکر استخرهای سوآپ را تخلیه کرد

پس از ضرب توکن‌ها، این هکر بیشتر توکن‌ها را وارد استخرهای سوآپ کرد و توانست ۵۲.۵ اتر از چند استخر در شبکه اتریوم و آپتیمیزم (Optimism) خارج کند. با این حال، تیم متاپول تأکید کرد که استخر آپتیمیزم، نقدینگی و حجم پایینی داشته است.

تیم متاپول همچنین اعلام کرد که تمام اتریوم‌های استیک‌شده در امنیت کامل هستند. این دارایی‌ها نزد اپراتورهای شبکه SSV سپرده‌گذاری شده‌اند و این اپراتورها هم‌اکنون در حال اعتبارسنجی بلاک‌ها در مین نت اتریوم هستند و پاداش استیکینگ دریافت می‌کنند.

طی دو روز آینده، گزارش فنی کامل از این حادثه توسط تیم متاپول منتشر و همچنین برنامه‌ای برای جبران خسارات ارائه خواهد شد؛ تا آن زمان، قرارداد mpETH در حالت تعلیق باقی می‌ماند و بررسی‌ها ادامه خواهد داشت.

متاپول وعده داده که دارایی‌های از دست رفته را جبران کرده و مطمئن شود همه کاربران به‌طور کامل خسارت خود را دریافت می‌کنند.

پروتکل‌های کریپتویی؛ در معرض حملات متعدد

الکس پروتکل (Alex Protocol)، که یک پلتفرم دیفای روی بلاکچین استکس (Stacks) و مبتنی بر بیت‌ کوین است، در تاریخ ۶ ژوئن (۱۶ خرداد) مورد حمله قرار گرفت.

مهاجم با سوءاستفاده از نقصی در منطق تأیید فهرست‌گذاری خودکار، توانست نقدینگی چندین استخر را تخلیه کند؛ در نتیجه‌ این حمله، حدود ۸.۳ میلیون دلار به سرقت رفت.

در همین حال، صرافی کریپتویی بیتو پرو (BitoPro) مستقر در تایوان نیز تأیید کرد که در تاریخ ۲ می (۱۲ اردیبهشت)، دچار نقص امنیتی شده و بیش از ۱۱.۵ میلیون دلار از دارایی‌هایش از کیف پول‌های گرم به سرقت رفته است.