مبتدی مقالات

بزرگ‌ترین هک های دیفای در سال ۲۰۲۱

در سال گذشته همزمان با افزایش سرمایه قفل شده در قراردادهای هوشمند و برنامه‌های غیرمتمرکز، امور مالی غیر متمرکز (DeFi) در کانون توجه قرار گرفت. تب‌وتاب این حوزه از چشم هکرهای فرصت‌طلب پوشیده نماند. آن‌ها برنامه‌های مختلفی برای نفوذ در پلتفرم‌ها پیاده‌سازی و مبالغ مختلفی از هر کدام از آن‌ها خارج کردند. در این مقاله، برخی از بزرگ‌ترین هک های دیفای در سال ۲۰۲۱ و میزان سرمایه‌ای که در هر پروژه به سرقت رفته را بیان کردیم و دلایل هک این پروژه‌ها را بررسی می‌کنیم. در ادامه مطلب با میهن بلاکچین همراه باشید.

لیست بزرگ‌ترین هک های دیفای در سال ۲۰۲۱

بزرگ ترین هک های ۲۰۲۱

جای تعجب نیست که سال ۲۰۲۱ سرقت، هک و کلاهبرداری مرتبط با دیفای به بالاترین حد خود رسیده است. در حال حاضر بیش از ۵۴ درصد از هک های سال ۲۰۲۱ در حوزه ارزهای دیجیتال، مربوط به صنعت دیفای است. این را با آمار سال گذشته که فقط ۳ درصد سرقت‌ها مربوط به امور مالی غیر متمرکز بود، مقایسه کنید.

در زیر لیستی از هک‌های DeFi آورده شده است که تنها در سال جاری حدود ۱.۲ میلیارد دلار برای سرمایه‌گذاران هزینه داشته است.

سرمایه هک شده (دلار)پروژه
اطلاعات دقیقی در دسترس نیستAlchemix (ALCX)
۳۷,۰۰۰,۰۰۰Alpha Finance Lab (ALPHA) & Cream Finance (CREAM)
۸۲۲,۰۰۰AutoShark Finance (JAWS)
۱۱,۰۰۰,۰۰۰bEarn Fi (BFI)
۵۰,۰۰۰,۰۰۰Belt Finance (BELT)
اطلاعات دقیقی در دسترس نیستBondly Finance (BONDLY)
۱,۵۰۰,۰۰۰BT Finance (BT)
۷,۲۰۰,۰۰۰BurgerSwap (BURGER)
۵۵,۰۰۰,۰۰۰bZx
۵,۲۰۰,۰۰۰ChainSwap (ASAP)
۱۹,۰۰۰,۰۰۰Cream Finance
۱۳۰,۰۰۰,۰۰۰Cream Finance
۱۱,۰۰۰,۰۰۰Dao Maker
۱,۹۱۰,۰۰۰DODO (DODO)
۸۰,۰۰۰,۰۰۰EasyFi (EZ)
۴,۶۰۰,۰۰۰Eleven Finance (ELE)
۳۷۶,۰۰۰Force DAO (FORCE)
۱۴,۰۰۰,۰۰۰Furucombo (COMBO)
۱,۳۰۰,۰۰۰Growth DeFi (GRO)
۵۰۰,۰۰۰Impossible Finance (IF)
۱۷۰,۰۰۰Iron Finance (IRON)
اطلاعات دقیقی در دسترس نیستLevyathan (LEV)
۳۱,۰۰۰,۰۰۰Meerkat Finance (MKAT)
۱,۵۶۰,۰۰۰Merlin Lab
۱۶۰,۰۰۰,۰۰۰Paid Network (PAID)
۲۰۰,۰۰۰,۰۰۰PancakeBunny (BUNNY)
۲,۴۰۰,۰۰۰PancakeBunny (BUNNY)
۲۶۸,۰۰۰,۰۰۰Poly Network
۲۵,۰۰۰,۰۰۰Popsicle Finance (ICE)
۳,۹۵۰,۰۰۰Punk Protocol (PUNK)
۱۵,۰۰۰,۰۰۰Rari Capital (RGT)
۵،۷۰۰،۰۰۰Roll
۲۷۵,۰۰۰Saddle Finance
۲۴۸,۰۰۰SafeDollar (SDO)
۳۰,۰۰۰,۰۰۰Spartan Protocol (SPARTA)
۳,۱۰۰,۰۰۰Sushi
۱۸,۰۳۹,۰۰۰THORChain (RUNE)
۲,۴۰۰,۰۰۰TurtleDex (TTDX)
۵۰,۰۰۰,۰۰۰Uranium Finance
اطلاعات دقیقی در دسترس نیستVenus Protocol (XVS)
اطلاعات دقیقی در دسترس نیستWild Credit (WILD)
۲۴,۵۰۰,۰۰۰xToken (XTK)
۱۱,۰۰۰,۰۰۰Yearn Finance (YFI)

وقتی نوبت به فناوری‌های جدیدی مانند بلاکچین و امور مالی غیر متمرکز (DeFi) می‌رسد، هکرها برای سرقت دارایی‌ها انگیزه کافی دارند. دیفای صنعتی با هزاران سرویس مختلف است که روی چندین بلاکچین اجرا می‌شوند و با یکدیگر تعامل دارند. این صنعت نوظهور باعث به‌وجود آمدن آسیب‌پذیری زیادی در لایه سرویس شده است که برای هکرهای فرصت‌طلب جذابیت زیادی دارد.

موسساتی مانند Vast Bank، اولین بانک در ایالات متحده که امکان استفاده از رمزارزها را در خدمات بانکی فراهم کرده، UBS ،CitiBank و سایر موسسات مالی بزرگ مانند مسترکارت، ویزا و پی‌پال، همگی در حال پذیرش ارز دیجیتال و سرمایه‌گذاری در این صنعت هستند. چالش اصلی این ارگان‌ها، ایمن نگه داشتن دارایی‌هایشان است.

هکرها چگونه از پلتفرم‌های دیفای سوء استفاده می‌کنند؟

با بررسی لیست بزرگ‌ترین هک های سال ۲۰۲۱، به نظر می‌رسد هکرها از طریق آسیب‌پذیری‌های موجود در پروتکل‌های مدیریت کلید خصوصی و شکاف‌های امنیتی موجود در کد قرارداد هوشمند استفاده می‌کنند.

استفاده از آسیب پذیری‌های مرتبط با مدیریت کلید خصوصی

کلید خصوصی و هک

برای مدیریت دارایی‌های دیجیتال خود، به یک کلید خصوصی نیاز دارید. توانایی نگهداری و انتقال ایمن دارایی‌ها تنها تا زمانی که کلید خصوصی امن باشد، تضمین شده است. پس از به خطر افتادن آن، وجوه به راحتی به کیف پول هکر منتقل می‌شود؛ بنابراین، جلوگیری از سرقت کلیدهای خصوصی برای حفظ امنیت دارایی دیجیتال بسیار مهم است.

راه‌حل محاسبه چند جانبه (Multi-Party Computation) یکی از بهترین روش‌ها برای ایمن‌سازی کلید خصوصی است. این راه‌حل، برای توزیع شاردهای کلید خصوصی بین چندین سیستم به جای نگه‌داشتن همه آنها در یک سیستم متصل به اینترنت طراحی شده است.

بسیاری از شرکت‌ها برای حفاظت و مدیریت دارایی‌های دیجیتال تنها به محاسبات چند جانبه (MPC) متکی هستند. با این حال، اگرچه استفاده از شیوه محاسبه چند جانبه، درجه امنیتی را افزایش می‌دهد، اما استفاده تنها از آن، برای بانک‌ها یا موسسات مالی که ده‌ها یا صدها میلیون دلار ارز دیجیتال را مدیریت می‌کنند، کافی نیست.

از آنجایی که هک، با بازگشت سرمایه مرتبط است، اگر یک هکر بداند که حساب دارای ده‌ها یا صدها میلیون دلار سرمایه است، برای تخلیه آن هزینه اختصاص خواهد داد. با MPC، هکر مجبور می‌شود به جای حمله یه یک سیستم، چندین رایانه را هدف قرار دهد که برایش هزینه‌بر است. اما اگر نسبت بازگشت سرمایه به هزینه حمله مناسب باشد، هکر حمله را عملی خواهد کرد.

روش بهتر این است که دارایی‌های دیجیتال خود را تقسیم کنید و از MPC برای مدیریت تنها ۲ یا ۳ درصد از دارایی‌ها استفاده کنید و بقیه سرمایه را در کیف پول‌های سخت افزاری نگهداری کنید؛ چرا که این کیف‌ها به لطف اینکه به اینترنت متصل نیستند، بیشترین امنیت را دارند.

مدیریت کلیدهای خصوصی در دیفای

با وجود DeFi، همه چیز چالش برانگیزتر می‌شود؛ زیرا هر تعامل با قراردادهای هوشمند در اکوسیستم، با ارسال یک تراکنش آغاز می‌شود. این تراکنش لزوما به معنای انتقال دارایی‌ها از حساب A به حساب B نیست. از نظر برنامه نویسی، این بیشتر شبیه فراخوانی تابع، شروع یک اسکریپت خاص یا اجزای یک تابع از قرارداد هوشمند است.

تراکنش باید توسط کلید خصوصی موسسه امضا شود که همین موضوع، فرصتی در اختیار هکر قرار می‌دهد تا آن را رهگیری کند. موسسات برای اطمینان از اینکه سیستم‌هایشان مطابق با بالاترین استانداردهای امنیتی عمل می‌کند، فقط باید به راه‌حل‌هایی تکیه کنند که به آن‌ها اجازه می‌دهند تراکنش‌ها را بدون استفاده از کیف پول‌های آنلاین امضا کنند.

از طرف دیگر، سرویس‌های مبتنی‌بر DeFi باید مطمئن شوند که مدیریت کلید خصوصی خود را به درستی انجام می‌دهند؛ زیرا دیفای آنچنان هم غیرمتمرکز نیست. در اینجا نیز یک نقطه شکست در سیستم وجود دارد و آن صاحب قرارداد هوشمند است که کنترل قرارداد را در دست داد.

کنترل قرارداد می‌تواند شامل متوقف کردن قرارداد، به‌روزرسانی قیمت، ضرب کردن کوین و سوزاندن دارایی‌ها باشد. با به خطر افتادن کلید خصوصی صاحب قرارداد هوشمند، کل اقتصاد پروتکل زیر سوال می‌رود. این حالت بدتر از هک شدن سرمایه‌های یک کاربر است؛ چراکه در این نوع حملات سرمایه کل کاربران در خطر است.

استفاده از آسیب پذیری‌های مرتبط با قراردادهای هوشمند

قرارداد هوشمند

روش دیگر برای هک کردن خدمات دیفای، استفاده از آسیب‌پذیری در کد است که می‌تواند شامل حملات متفاوتی باشد، از جمله اجرای یک تابع تا جایی که حافظه پر شود و سرمایه قفل‌شده کاربران در قرارداد به خطر بیفتد. چنین آسیب‌پذیری‌هایی اغلب روش‌های تعامل قراردادهای هوشمند با یکدیگر را نشان می‌دهند و در وهله اول نیاز است که قراردادهای هوشمند به طور کامل بازبینی شوند.

در حسابرسی قراردادها، توسعه‌دهندگان با کمک محققان بلاکچین، بهترین شیوه‌ها را برای پیاده‌سازی برنامه‌ها انتخاب می‌کنند و اشتباهاتی را که می‌توانند توسط هکرها مورد سوء استفاده قرار گیرند، از بین خواهند برد. با این حال، در حال حاضر، برای امور مالی غیر متمرکز، بررسی و بازبینی قراردادهای هوشمند یکی از عاقلانه‌ترین کارهاست.

جمع بندی

در این مقاله در مورد بزرگ‌ترین هک های سال ۲۰۲۱ که در حوزه DeFi رخ داده است، صحبت کردیم. اکوسیستم دیفای خدمات زیادی برای ارائه به موسسات مالی سنتی دارد و این راه پر پیچ‌وخم به اندازه‌ای مهم است که نمی‌توان تهدید هکرهای فرصت‌طلب را نادیده گرفت. خوشبختانه، با پایبندی به دو قانون اساسی امنیتی، پروژه‌های فعال در عرصه امور مالی غیر متمرکز می‌توانند ریسک‌های خود را تا حد زیادی کاهش دهند.

قانون اول این است که موسسات مالی کلیدهای خصوصی خود را به ایمن‌ترین شیوه مدیریت کنند؛ به گونه‌ای که اکثر دارایی‌ها را در کیف پول‌های سرد و خارج از دسترس هکرها نگهداری کنند و برای انجام تراکنش‌های با تکرار زیاد و خودکار، فقط حجم کمی از دارایی‌ها را با MPC مدیریت کنند. قانون دوم بررسی و بازبینی شکاف‌های امنیتی است. این کار هم قراردادهای هوشمند را مورد بازبینی قرار می‌دهد و هم پایبندی به قانون شماره یک را ارزیابی می‌کند.

منبع
hackernoon

نوشته های مشابه

1 دیدگاه
جدید ترین
قدیمی ترین محبوب ترین
Inline Feedbacks
View all comments
دکمه بازگشت به بالا