گزارشهای تازه نشان میدهند که صرافی غیرمتمرکز سوشی سواپ بهتازگی مورد حمله هکرها قرارگرفته و سرمایه کاربران شده است. در پی هک سوشی سواپ حداقل 3.3 میلیون دلار سرمایه به سرقت رفته است. بر اساس دادهها، دلیل حمله، نقص و باگی مربوط به پذیرش در قرارداد Routerprocessor2 پلتفرم بوده است.
هک سوشی سواپ
به نقل از د بلاک، شرکت امنیتی پک شیلد و جرد گری، مدیر صرافی پس از این حمله و مشخص شدن آسیبپذیری پیشنهاد لغو کردن تمامی زنجیرهها را دادهاند. شرکت امنیتی Ancilia در گزارشی تازه گفته است که علت حمله و هک سوشی سواپ قابلیت مبادله داخلی پلتفرم بوده است.
گفتنی است که این قابلیت از نسخه سوم یونی سواپ میخواهد تا متغیر lastCalledPool (آخرین استخر مورد استفاده شده) را تنظیم کند که در حقیقت یک فضای ذخیرهای است. بر اساس دادهها، پس از آن در تابع swap3callback بررسی مجوز دور زده میشود.
برد کی (Brad Kay) کارشناس شرکت تحقیقاتی بلاک در رابطه با این حمله گفته است که هک سوشی سواپ در پی سوءاستفاده مهاجم از تابع yoink صورت گرفته که مربوط به باگی در مکانیسم پذیرش قرارداد روتر صرافی است. این باگ به افراد بدون مجوز اجازه میدهد تا بدون تأیید صاحب توکن، دارایی وی را به سرقت ببرند.
مطلب مفید: قابلیت همکاری بلاک چین (interoprability) به چه معناست؟
کارشناس بلاک توضیح داد که در حمله اول به نظر یک هکر کلاهسفید 100 اتریوم را به سرقت برده است. در ادامه اما هکر دیگری دست به کار شده و با استفاده از همان قرارداد نزدیک به 1800 اتریوم را به سرقت برده است.
در همین حین، پلتفرم DeFiLlama مدعی شده است که تنها کاربرانی که در 4 روز گذشته در صرافی سوشی سواپ مبادله انجام دادهاند، تحت تأثیر این حمله قرارگرفتهاند. این پلتفرم همچنین لیستی از قراردادهایی را در سراسر زنجیرهها منتشر کرد که تیم پروتکل باید آنها را لغو کند.
علاوه بر آن، ابزاری از سمت این پلتفرم تحلیلی ساخته شده است که میتوان با آن مشخص کرد آیا آدرسهای شما تحت تأثیر حمله قرارگرفته است یا خیر. بر اساس آخرین دادهها، تاکنون 190 آدرس اتریوم و بیش از 2000 آدرس شبکه لایه 2 آربیتروم قرارداد مشکلساز را تأیید کردهاند.
قابلتوجه است که قیمت سوشی (SUSHI)، توکن بومی این صرافی واکنش چندانی به حمله هکری نداشته و علیرغم هک سوشی سواپ و سرقت 3.3 میلیون دلار سرمایه تنها 0.6% ریزش را تجربه کرده است. باید اشاره داشت که تیم صرافی در حال همکاری با کارشناسان امنیتی است تا مشکل را حل و سرمایه مسروقه را بازگرداند.
برای اطلاع از آخرین اخبار ارز دیجیتال با فکت کوینز همراه باشید.