پروتکل دیفای وامدهی bZx که یکی از پروژههای دیفای است شب گذشته بار دیگر مورد حمله قرار گرفت. در اثر ایراد موجود در کدهای این قرارداد هوشمند، ۸ میلیون دلار سرمایه افراد در این پروژه نابود شد.
حوزه دیفای از ابتدای سال ۲۰۲۰ و به طور خاص در چند ماه گذشته به صورت وسیع مورد توجه فعالان بازار ارزهای دیجیتال قرار گرفته است. بسیاری از افراد به دید سرمایهگذاری وارد این پروژهها میشوند اما گاهی شاهد نابودی سرمایه افراد در این حوزه هستیم. ایراد موجود در کد این قراردادهوشمند فرصتی را برای مهاجم فراهم کرد تا بتواند توکنهای iToken خود را افزایش دهد و در واقع بتواند بالانس حساب خود را بالاتر ببرد.
ایراد در کدهای قراردادهوشمند پروژه دیفای bZx
تنها ساعاتی پس از اینکه این ایراد در قرارداد هوشمند این پروژه دیفای مشخص شد، bZx صدور و سوزاندن توکن iToken را متوقف کرد. پس از اصلاح بالانس حسابهایی که توکنهای آنها افزایش یافته بود، مجددا شبکه را به حالت اولیه بازگرداند. این ایراد در کد قرارداد هوشمند این پروژه دیفای باعث شد تا مهاجم بتواند ۲۱۹,۲۰۰ توکن لینک ( معادل ۲.۶ میلیون دلار)، ۴,۵۰۳ کوین اتر(معادل ۱.۶ میلیون دلار)، ۱,۷۵۶,۳۵۱ تتر(معادل ۱.۷ میلیون دلار)، ۱,۴۱۲,۰۴۸ توکن USDC( معادل ۱.۴ میلیون دلار) و ۶۶۷,۹۸۹ DAI( معادل ۶۸۰ هزار دلار) را برای خود ایجاد کند. مجموع این هک معادل ۸ میلیون دلار بوده است. bZx اعلام کردهاست که دارایی هیچ یک از کاربران در خطر نبوده و مقدار دارایی از دست رفته از محل دارایی تیم توسعه، جایگزین خواهد شد و هیچ خطری متوجه کاربران نخواهد بود.
مشکل شبکه دیفای bZx چه بود؟
Marc Thalen یکی از مهندسان مطرح در بیت کوین.کام، مدعی شده که برای اولین بار او متوجه این ایراد در پروتکل دیفای bZx شده است. او در ادامه مدعی شده است که بیش از ۲۰ میلیون دلار از دارایی این پروژه دیفای در خطر است. Thalen سعی کرد خودش با ایجاد یک درخواست وام در این شبکه وامدهی، ایراد این شبکه را نشان دهد. او برای این مار با استفاده از رمزارز USDC یک درخواست وام به ارزش ۱۰۰ دلار ایجاد کرد. پس از این درخواست او معادل ۱۰۰ دلار را iUSDC دریافت کرد. حالا او این وام را مجددا به خودش ارسال میکند و عملا دارایی خود را تکثیر میکند. حالا دارایی او ۲۰۰ دلار شده است. این ترتیبی است که Thalen در تشریح این مشکل، ارائه داده است.
بنیانگذار پروتکل bZx در پاسخ به این اتفاق گفته است:
توضیح دادن برای اتفاقی که افتاده و اینکه چرا چنین ایراد بزرگی توسط دو آزمایشگاه حسابرسی Peckshield و Certik این شبکه تشخیص داده نشده و ایراد آن برطرف نشده، برایم سخت است. این دو موسسه مسئول رفع ایرادات فنی پروژه بودهاند و بررسی امنیت شبکه برعهده آنها بوده است.
موسسه Pecksheild در پاسخ به بنیانگذار پروتکل دیفای bZx گفتند:
یک موسسه حسابرسی هیچگاه نمیتواند ضمانت کند تا تمامی مشکلات شبکه را شناسایی و رفع خواهد کرد. اما با کار مداوم و بررسیهای بیشتر میتواند احتمال خطا در تامین امنیت یک شبکه را به پایینترین مقدار ممکن رساند.
موسسه Certik در پاسخ گفت:
تامین امنیت انتها ندارد و همواره باید روی آن کار کرد.
آیا این پروژه دیفای متوقف خواهد شد؟
برخی از افراد خبره در این حوزه از تیم مدیریتی پروتکل دیفای bZx خواستهاند که شبکه را متوقف کرده و پروتکل شبکه را مجددا بازرسی کرده تا از مشکلات بیشتر جلوگیری شود. هرچند به نظر میرسد که تیم توسعه و تیم مدیریتی این پروژه دیفای قصد انجام چنین کاری را ندارند. در سال جاری این برای سومین بار است که این شبکه دیفای مورد حمله قرار میگیرد. در ماه فوریه سال جاری، در دو حمله متوالی حدود ۹۴۵ هزار دلار از این شبکه از بین رفت.
به دنبال این هک در شبکه دیفای bZx حدود ۷۰ درصد از سرمایه قفل شده در این پروژه از آن خارج شد. این مورد میتواند منجر به نابودی این شبکه شود. اما مدیران این پروژه در اظهار نظری بلندپروازانه گفتهاند که زمان همه چیز را تغییر خواهد داد و ما به دنبال ارائه محصولات جذاب و مورد نیاز این حوزه هستیم و مردم مجبورند از شبکه bZx استفاده کنند و از این جهت بدنامی ایجاد شده برای ما، از یادها خواهد رفت. در حال حاضر این پروژه دیفای در جایگاه ۳۷ پروژههای DeFi قرار گرفته و کل سرمایه قفل شده در آن ۴۹۵ هزار دلار است.