سرقت 47 میلیون دلاری از صرافی Curve Finance، چه عواقبی در انتظار است؟

ساعاتی پیش یکی از برجسته‌ترین صرافی‌ها در حوزه دیفای یعنی صرافی غیر متمرکز Curve Finance مورد هک شد و بیش از 47 میلیون دلار دارایی مورد سرقت قرار گرفت. خطر برای تعدادی از استخرهایی این پلتفرم همچنان باقیست و طبق داده‌های موجود بیش از 100 میلیون دلار نقدینگی تحت خطر قرار دارد. این سو استفاده به دلیل یک باگ امنیتی در زبان برنامه نویسی Vyper انجام شده و تنها استخرهایی که با آن تعامل دارند با مشکل رو به رو هستند. اما تاثیرات هک صرافی Curve چه خواهد بود؟ در این شرایط چه کاری باید انجام دهیم؟

در ادامه این مقاله با بیتفا همراه باشید تا به هک Curve finance و تاثیرات آن بپردازیم.

هک صرافی Curve Finance

ماجرا از زمانی شروع شد که به واسطه یک باگ امنیتی در نسخه‌های 0.2.15 ، 0.2.16 و 0.3.0 زبان برنامه نویسی Vyper حمله‌ای به استخرهای Curve finance انجام شد و حدود 47 میلیون دلار نقدینگی از آن دزدیده شد. این حمله به واسطه آسیب پذیری نسخه‌های ذکر شده در برابر حمله ورود مجدد صورت گرفته است؛ طی این نوع حمله ممکن است دارایی قرارداد مورد هدف به کلی تخلیه شود.

صرافی Curve Finance طی یک توییت اعلام کرد این حمله به تعدادی از استخرهای پایدار (Stable Pools) از جمله استخر ارزهای alETH/msETH/pETH با جفت ارز ETH و البته استخر CRV/ETH صورت گرفته است و در ادامه اعلام کرد Audit ها و توسعه دهندگان Vyper همچنان راهکاری بهینه برای حل این مشکل پیدا نکرده‌اند. این صرافی توصیه کرد در صورتی که در استخر Tricrypto شبکه آربیتروم نقدینگی دارید حتماً تخلیه کنید؛ اما در مجموع به جز استخرهای ذکر شده برای باقی استخرها هیچ مشکلی وجود ندارد. (در صورت داشتن دارایی در استخر ذکر شده می‎‌توانید از طریق "این لینک" دارایی خود را تخلیه کنید)

صرافی کرو فایننس اعلام کرد مشکلی برای باقی استخرهای نقدینگی وجود ندارد و با این کار در تلاش برای حفظ آرامش در کامیونیتی خود است. اما به نظر این کار خیلی کارساز نبوده زیرا تامین کنندگان نقدینگی در حال خالی کردن دارایی‌های خود هستند و TVL این پلتفرم ریزش سنگینی تجربه کرده است.

مشکلات امنیتی زبان برنامه نویسی Vyper دلیل اصلی هک بوده است

زبان برنامه نویسی Vyper یک زبان contract-oriented است که امکان اجرای قراردادهای هوشمند بر روی ماشین مجازی اتریوم (EVM) را فراهم می‌کند. این زبان به دلیل شباهت بالایی که با زبان برنامه نویسی پایتون داشت، توجه زیادی جلب کرد و خیلی از توسعه دهندگان آن را رقیب اصلی سالیدیتی می‌نامیدند.

مشکل امنیتی موجود در نسخه‌های نسخه‌های 0.2.15 ، 0.2.16 و 0.3.0، موجب یک اختلال امنیتی شد و امکان malfunctioning reentrancy را برای هکرها فراهم کرد. تیم توسعه وایپر اعلام کرده مشکل ایجاد شده اصلاً قابل شناسایی برای هکرهای عادی نبوده و مطمئناً با یک تحقیق بسیار عمیق و با هدف خالی کردن دارایی‌های قراردادها به آن پی برده‌اند.

هک صرافی Curve چه تاثیراتی می‌تواند داشته باشد؟

هک انجام شده در صرافی کرو فایننس به دلیل یک باگ امنیتی در زبان برنامه نویسی استفاده شده صورت گرفته است و در نتیجه احتمال دارد این آسیب پذیری به پلتفرم Curve محدود نباشد. دیگر پلتفرم‌هایی که از نسخه‌های ذکر شده زبان Vyper استفاده کردند همچنان تحت خطر هستند و تاثیرات این هک ممکن است گسترده‌تر نیز باشد.

احتمال حمله مجدد به دیگر پلتفرم‌ها

هک صورت گرفته از طریق آسیب پذیری تعدادی از نسخه‌های Vyper در برابر "حمله ورود مجدد" صورت گرفته است و این احتمال وجود دارد تا صرافی‌های غیر متمرکز دیگری که از این نسخه‌ها استفاده می‌کنند نیز مورد حمله قرار بگیرند. تیم توسعه زبان وایپر در توییتر اعلام کرد ما در حال تحقیق و تلاش برای رفع مشکل هستیم اما هر پروژه‌ای که به نسخه‌های آسیب پذیر تکیه داشته و قراردادهای هوشمند خود را مبتنی بر آن طراحی کرده است، فوراً فعالیت خود را مدیریت کند و با ما در ارتباط باشد. طبق داده‌های موجود در مجموع حدود 460 قرارداد هوشمند در حال استفاده از سه نسخه ذکر شده هستند.

در ادامه این هک یک گروه هکری کلاه سفید ایجاد شده و در حال تلاش برای کمک به پلتفرم‌هایی است که از این نسخه‌های Vyper استفاده می‌کنند. البته در نظر داشته باشید طی چنین حملاتی تنها ممکن است خود پلتفرم، هولدرهای ارز بومی پلتفرم و تامین کنندگان نقدینگی آن متضرر شوند و تاثیر چندانی بر روی کاربران و معامله‌گران پلتفرم ندارد!

تاثیر این هک بر روی پروژه Curve Finance

صرافی غیر متمرکز Curve Finance بیش از 3.2 میلیارد دلار نقدینگی قفل شده داشت؛ پس از انتشار خب هک Curve finance، تامین کنندگان نقدینگی این پلتفرم فوراً دارایی خود را از این صرافی برداشت کردند و در چند ساعت گذشته TVL این صرافی تقریباً نصف شده است.

تاثیر این حمله بر روی ارز بومی این صرافی یعنی ارز CRV نیز کاملاً مشهود بوده است، قیمت آن تنها در چند ساعت از 0.73 دلار تا محدوده 0.61 دلار ریزش را تجربه کرد. چنین اتفاقاتی معمولاً تا مدت‌ها تاثیر خود را باقی می‌گذارند؛ زیرا ممکن است مدت‌ها طول بکشد تا کرو فایننس بتواند مجدد اعتماد کاربرانش را برگرداند.