پلتفرم‌های وام‌دهی کم‌وثیقه، طعمه جدید هکرهای رمزارزی!

به نظر می‌رسد که پلتفرم Sentiment، یک پروتکل وام‌دهی کم وثیقه در 4 آوریل برای بیش از 500,000 دلار رمزارز مورد سوء استفاده قرار گرفته است. به گزارش رمزارز نیوز، داده‌های بلاکچین اتریوم، تراکنشی را نشان می‌دهند که 536,738.410031 دلار توکن USDC انتقال داده است.
این تراکنش توسط پل سیناپس (Synapse Bridge) انجام شده و با یک سری معاملات Arbitrum مرتبط است که توکن‌ها را از Sentiment تخلیه می‌کند.
کیف پولی که این حمله را انجام داده توسط Arbiscan با عنوان «Sentimentxyz Exploiter» برچسب گذاری شده است. تیم Sentiment در توییتر اعلام کرده که در همین رابطه از یک مشکل بالقوه در پروتکل آگاه است.
کاربر Officer’s Notes در توییتر پیشنهاد کرده که این ممکن است یک حمله مجدد باشد و برای رسیدن به این نتیجه به تحقیقات انجام شده توسط FrankResearcher در توییتر اشاره کرد.

سود‌های بی‌پایان!

خرید میم‌کوین‌های کمیاب و انفجاری بدون کارمزد، فقط در ارزپلاس!

خرید سریع

تیم Sentiment هنوز نگفته که چه اقداماتی برای متوقف کردن حمله انجام می‌شود یا کاربران برای کاهش خطر چه کاری باید انجام دهند. تحقیقات بیشتر نشان می‌دهند که مهاجم ممکن است کلید توسعه‌دهنده پروتکل را دزدیده باشد.
مهاجم با استقرار قراردادی در شبکه Arbitrum در آدرس زیر شروع کرد: 0xa4d063b9468b93aee2a87ec7072c3dabd5ee5968و آنها پس از یک دقیقه بعد این تابع را در قرارداد فراخوانی کردند. با این حال، این فراخوانی عملکرد ناموفق بود و یک پاسخ “Fail with error ‘BAL#420” تولید کرد و سپس مهاجم با فراخوانی تابع “خود تخریبی” موفق شد. این کار تمام کدهای قرارداد را از بلاکچین پاک کرد.
پس از از بین بردن این قرارداد، مهاجم در آدرس زیر مستقر شد0x9f626F5941FAfe0A5b839907d77fbBD5d0deA9D0سپس یک بار دیگر تابع را فراخوانی کرد و این بار موفق و باعث شد که قرارداد چندین معامله انجام دهد. این نشان می‌دهد که حمله ممکن است در نتیجه سرقت یک کلید توزیع‌کننده باشد.
پس از ارتقای قرارداد، قرارداد هوشمند مخرب، مهاجم را برای انتقال توکن‌های مختلف تأیید کرد و در نتیجه وجوه موجود در پروتکل را از دست داد. سپس، این وجوه مبادله شد و از طریق پل سیناپس به شبکه اتریوم انتقال یافت.
البته پس از تکمیل این تراکنش‌ها، مهاجم بار دیگر کد قرارداد را از بین برد.