پروتکل دیفای bZx بار دیگر مورد حمله قرار گرفت؛ 8 میلیون دلار از دست رفت!

پروتکل دیفای وام‌دهی bZx که یکی از پروژه‌های دیفای است شب گذشته بار دیگر مورد حمله قرار گرفت. در اثر ایراد موجود در کدهای این قرارداد هوشمند، ۸ میلیون دلار سرمایه افراد در این پروژه نابود شد.

حوزه دیفای از ابتدای سال ۲۰۲۰ و به طور خاص در چند ماه گذشته به صورت وسیع مورد توجه فعالان بازار ارزهای دیجیتال قرار گرفته است. بسیاری از افراد به دید سرمایه‌گذاری وارد این پروژه‌ها می‌شوند اما گاهی شاهد نابودی سرمایه افراد در این حوزه هستیم. ایراد موجود در کد این قراردادهوشمند فرصتی را برای مهاجم فراهم کرد تا بتواند توکن‌های iToken خود را افزایش دهد و در واقع بتواند بالانس حساب خود را بالاتر ببرد.

ایراد در کدهای قراردادهوشمند پروژه دیفای bZx

تنها ساعاتی پس از اینکه این ایراد در قرارداد هوشمند این پروژه دیفای مشخص شد، bZx صدور و سوزاندن توکن iToken را متوقف کرد. پس از اصلاح بالانس حساب‌هایی که توکن‌های آنها افزایش یافته بود، مجددا شبکه را به حالت اولیه بازگرداند. این ایراد در کد قرارداد هوشمند این پروژه دیفای باعث شد تا مهاجم بتواند ۲۱۹,۲۰۰ توکن لینک ( معادل ۲.۶ میلیون دلار)، ۴,۵۰۳ کوین اتر(معادل ۱.۶ میلیون دلار)، ۱,۷۵۶,۳۵۱ تتر(معادل ۱.۷ میلیون دلار)، ۱,۴۱۲,۰۴۸ توکن USDC( معادل ۱.۴ میلیون دلار) و ۶۶۷,۹۸۹ DAI( معادل ۶۸۰ هزار دلار) را برای خود ایجاد کند. مجموع این هک معادل ۸ میلیون دلار بوده است.  bZx اعلام کرده‌است که دارایی هیچ یک از کاربران در خطر نبوده و مقدار دارایی از دست رفته از محل دارایی تیم توسعه، جایگزین خواهد شد و هیچ خطری متوجه کاربران نخواهد بود.

مشکل شبکه دیفای bZx چه بود؟

Marc Thalen یکی از مهندسان مطرح در بیت کوین.کام، مدعی شده که برای اولین بار او متوجه این ایراد در پروتکل دیفای bZx شده است. او در ادامه مدعی شده است که بیش از ۲۰ میلیون دلار از دارایی این پروژه دیفای در خطر است. Thalen سعی کرد خودش با ایجاد یک درخواست وام در این شبکه وام‌دهی، ایراد این شبکه را نشان دهد. او برای این مار با استفاده از رمزارز USDC یک درخواست وام به ارزش ۱۰۰ دلار ایجاد کرد. پس از این درخواست او معادل ۱۰۰ دلار را iUSDC دریافت کرد. حالا او این وام را مجددا به خودش ارسال می‌کند و عملا دارایی خود را تکثیر می‌کند. حالا دارایی او ۲۰۰ دلار شده است. این ترتیبی است که Thalen در تشریح این مشکل، ارائه داده است.

بنیانگذار پروتکل bZx در پاسخ به این اتفاق گفته است:

توضیح دادن برای اتفاقی که افتاده و اینکه چرا چنین ایراد بزرگی توسط دو آزمایشگاه‌ حسابرسی Peckshield  و Certik این شبکه تشخیص داده نشده و ایراد آن برطرف نشده، برایم سخت است. این دو موسسه مسئول رفع ایرادات فنی پروژه بوده‌اند و بررسی امنیت شبکه برعهده آنها بوده است.

موسسه Pecksheild در پاسخ به بنیانگذار پروتکل دیفای bZx گفتند:

یک موسسه حسابرسی هیچ‌گاه نمی‌تواند ضمانت کند تا تمامی مشکلات شبکه را شناسایی و رفع خواهد کرد. اما با کار مداوم و بررسی‌های بیشتر می‌تواند احتمال خطا در تامین امنیت یک شبکه را به پایینترین مقدار ممکن رساند.

موسسه Certik در پاسخ گفت:

تامین امنیت انتها ندارد و همواره باید روی آن کار کرد.

آیا این پروژه دیفای متوقف خواهد شد؟

برخی از افراد خبره در این حوزه از تیم مدیریتی پروتکل دیفای bZx خواسته‌اند که شبکه را متوقف کرده و پروتکل شبکه را مجددا بازرسی کرده تا از مشکلات بیشتر جلوگیری شود. هرچند به نظر می‌رسد که تیم توسعه و تیم مدیریتی این پروژه دیفای قصد انجام چنین کاری را ندارند. در سال جاری این برای سومین بار است که این شبکه دیفای مورد حمله قرار می‌گیرد. در ماه فوریه سال جاری، در دو حمله متوالی حدود ۹۴۵ هزار دلار از این شبکه از بین رفت.

به دنبال این هک در شبکه دیفای bZx حدود ۷۰ درصد از سرمایه قفل شده در این پروژه از آن خارج شد. این مورد می‌تواند منجر به نابودی این شبکه شود. اما مدیران این پروژه در اظهار نظری بلندپروازانه گفته‌اند که زمان همه چیز را تغییر خواهد داد و ما به دنبال ارائه محصولات جذاب و  مورد نیاز این حوزه هستیم و مردم مجبورند از شبکه bZx استفاده کنند و از این جهت بدنامی ایجاد شده برای ما، از یادها خواهد رفت. در حال حاضر این پروژه دیفای در جایگاه ۳۷ پروژه‌های DeFi قرار گرفته و کل سرمایه قفل شده در آن ۴۹۵ هزار دلار است.