سرقت ۸.۱ میلیون دلار از پروتکل رمرارز bZx در حمله‌ سایبری

به گزارش کارگروه حملات سایبری سایبربان؛ باگ موجود در قراردادهای هوشمند به هکر اجازه داده که ۲۱۹,۲۰۰ توکن لینک به ارزش ۲.۶ میلیون دلار، ۴,۵۰۳ اتریوم به ارزش ۱.۶۵ میلیون دلار، ۱,۷۵۶,۳۵۱ تتر به ارزش ۱.۷۶ میلیون دلار، ۱,۴۱۲,۰۴۸ توکن USDC‌ به ارزش ۱.۴ میلیون دلار و ۶۶۷,۹۸۹ توکن DIA‌ به ارزش ۶۸۱ هزار دلار ضرب کند.

طبق بیانیه‌ای که هم‌بنیانگذار bZx، «کایل کیستنر» منتشر کرده، کد معیوب در قرارداد به مهاجم اجازه داده که دارایی‌ها را کپی کرده یا حتی تعادل توکن‌های بابهره پروتکل به نام «iTokens» را نیز افزایش دهد.

bZx چندین ساعت پس از این رخنه امنیتی به وجود آن پی برده و به سرعت ضرب iToken را متوقف کرده و آن‌ها را سوزانده است. معاملات پس از رفع مشکلات مربوط به تعادل و همچنین کپی دارایی‌ها از سر گرفته شده است.

کیستنر اعلام کرده که نگرانی از بابت سرمایه افراد وجود ندارد چرا که به سرعت جبران خسارت خواهد شد. هم‌بنیانگذار bZx اعلام کرده:

«هیچ سرمایه‌ای در معرض خطر نیست. به علت تکثیر توکن‌ها، صندوق بیمه پروتکل آن را پوشش می‌دهد. بودجه بیمه خزانه توکن‌ها و همچنین جریان مالی پروتکل را پوشش خواهد داد.»

فردی که این باگ را شناسایی کرده، «مارک تالن» برای آزمایش آن یک وام به ارزش ۱۰۰ USDC‌ برای خود تولید کرده است:

«با این کار توکن iUSDC بازیابی و آن‌ها را برای خود ارسال کردم که عملا تکثیر و کپی کردن دارایی محسوب می‌شود. پس از آن، چنین کاری را برای ۲۰۰ USDC انجام دادم.»

دو شرکت حسابرسی «Peckshield» و «Certik» نتوانسته‌اند کد معیوب درون قراردادهای هوشمند را شناسایی کنند. Peckshield اعلام کرده:

«یک شرکت حسابرسی پیدا کردن تمام مشکلات احتمالی را نمی‌تواند تضمین کند، با این حال با همکاری توسعه‌دهندگان و حسابرسان به هدف خود یعنی حذف ریسک‌های امنیتی نزدیک می‌شویم.»

برای سومین بار bZx در سال ۲۰۲۰ با حمله سایبری مواجه شده که البته دو حمله قبلی کمتر از ۱ میلیون دلار به این پلتفرم ضرر زده بودند.