کرو فایننس (Curve Finance)، یک پروتکل مالی غیرمتمرکز (دیفای)، یک چالش پاداش در ازای اشکال را آغاز کرده و به هر کسی که بتواند مهاجم پشت حمله اخیر به این پروتکل را شناسایی کند، پاداش میدهد.
لازم به ذکر است که حمله اخیر، منجر به سرقت بیش از ۶۱ میلیون دلار از استخرهای نقدینگی کرو فایننس در ۳۰ جولای شده بود.
کرو فایننس در ابتدا ۱۰ درصد پاداش را به هکر پیشنهاد کرد که بالغ بر ۶ میلیون دلار بود. مهاجم متعاقباً داراییهای دزدیدهشده را به آلکمیکس (Alchemix) و JPEGd برگرداند، اما در مورد سایر استخرهای آسیبدیده این اتفاق رخ نداد.
با گذشت آخرین مهلت بازگرداندن داوطلبانه داراییهای دزدیدهشده، افرادی که میتوانند موفقیت مهاجم را شناسایی کنند، اکنون واجد شرایط دریافت داراییهایی به ارزش ۱.۸۵ میلیون دلار هستند.
یک پیام درون زنجیرهای از کرو فایننس منتشر شد که نشاندهنده تمدید پاداش برای عموم بود و بر پاداشی معادل ۱۰ درصد از وجوه دزدیدهشده باقیمانده برای هر کسی که بتواند در شناسایی مهاجم کمک کند، تأکید کرد.
این امر منجر به محکومیت مهاجم در دادگاه خواهد شد. در این پیام همچنین اشاره شده است که اگر مهاجم بخواهد به طور کامل وجوه را بازگرداند، هیچ پیگیری دیگری انجام نخواهد شد.
قبل از بازگرداندن وجوه، مهاجم پیامی به ظاهر خطاب به تیمهای آلکمیکس و کرو فایننس گذاشت. در این پیام، مهاجم ادعا کرد که تصمیم او برای بازپرداخت وجوه، به دلیل تمایلش برای آسیب نرساندن به پروژههای درگیر بوده است، نه ترس از شناسایی شدن.
این حمله که به دلیل آسیبپذیریها در پروژههای دیفای بوده، ضعفهای موجود در پلتفرمهای مختلف را آشکار کرده و باعث تلاشهای زیادی برای بازیابی در سراسر اکوسیستم دیفای شده است.
این حمله استخرهای نقدینگی پایدار را هدف قرار داد و از آسیبپذیریهای نسخههای زبان برنامهنویسی وایپر (Vyper) از طریق حملات ورود مجدد (Reentrancy) استفاده کرد. نقدینگی تخلیهشده از استخرهای کرو فایننس شامل ۱۳.۶ میلیون دلار از آلکمیکس، ۱۱.۴ میلیون دلار از JPEGd و ۱.۶ میلیون دلار از Metronome بود.
- نویسنده: گسترش نیوز
