Aftermath یک اکسپلویت که پروتکل معاملات دائمی آن را تحت تأثیر قرار داده تأیید کرد و این رویداد به عنوان جدیدترین حادثه امنیتی در ماهی ثبت شد که شاهد زیانهای گسترده در سراسر دیفای بوده است.
تیم اعلام کرد مشکل ناشی از یک نقص بود که امکان تنظیم کارمزد سازنده منفی را فراهم میکرد و منجر به زیانهایی در حدود ۱.۱۴ میلیون دلار شد. پروتکل به عنوان یک اقدام احتیاطی متوقف شد، در حالی که محصولات تحت تأثیر قرار نگرفته همچنان فعال هستند.
این حادثه به الگوی گستردهتری از اکسپلویتها در طول ماه آوریل افزوده میشود که هم شکستهای بزرگ و هم آسیبپذیریهای کوچکتر پروتکلهای متعددی را تحت تأثیر قرار دادهاند.
اکسپلویتهای بزرگ بر زیانهای آوریل تسلط دارند
دو حادثه بخش عمده زیانهای گزارششده در این ماه را به خود اختصاص دادهاند.
اکسپلویت مرتبط با rsETH در Kelp DAO یکی از بزرگترین اختلالات را ایجاد کرد و تأثیر تخمینی آن ~۲۹۲ میلیون دلار بود. این مشکل شامل ضرب داراییهای بدون پشتوانه از طریق یک آسیبپذیری مرتبط با پل میان زنجیرهای (پل کراسچین) بود که سپس در پروتکلهای یکپارچه گسترش یافت.
در حالی که وجوه به معنای سنتی تخلیه نشدند، این رویداد ریسک سیستمیک ایجاد کرد، بهویژه برای پلتفرمهای وامدهی که در معرض آن دارایی بودند.
حادثه بزرگ دیگری Drift Protocol را درگیر کرد که در آن حملهای مرتبط با دستکاری وثیقه و دسترسی اداری منجر به زیانهای قابل توجهی شد. گزارشها تأثیر آن را در حد صدها میلیون تخمین میزنند، اگرچه ساختار این حمله با یک اکسپلویت معمول متفاوت بود.
در مجموع، این حوادث اکثریت زیانهای گزارششده آوریل را که از ۶۰۰ میلیون دلار فراتر رفته بر اساس دادههای ردیابی موجود تشکیل میدهند.
اکسپلویتهای متوسط همچنان ظهور میکنند
فراتر از بزرگترین موارد، چندین اکسپلویت سطح متوسط به تعداد این ماه افزودهاند.
Rhea Finance زیانهایی در حدود ۷.۶ میلیون دلار را پس از حملهای که شامل قراردادهای توکن جعلی و دستکاری اوراکل بود متحمل شد.
Grinex Exchange از تخلیه کیف پول به میزان ~۱۳.۷ میلیون دلار خبر داد که چندین آدرس را تحت تأثیر قرار داد.
GiddyDefi تقریباً ۱.۳ میلیون دلار به دلیل نقص اعتبارسنجی مجوز مرتبط با مکانیزم بازپخش امضا از دست داد.
CoW Swap نیز حادثهای به مبلغ ~۱.۲ میلیون دلار مرتبط با حمله ربودن دامنه تجربه کرد که ریسکهای فراتر از آسیبپذیریهای قرارداد هوشمند را برجسته کرد.
حوادث کوچکتر نقاط ضعف مداوم را آشکار میکنند
چندین اکسپلویت کوچکتر نیز در سراسر اکوسیستم گزارش شدهاند.
Silo Finance، Aethir و Dango هر کدام زیانهایی مرتبط با پیکربندی نادرست اوراکل، مشکلات کنترل دسترسی یا باگهای قرارداد تجربه کردند. در برخی موارد، مانند Dango، وجوه بعداً از طریق مداخله هکر کلاهسفید بازیابی شدند.
اخیراً، Scallop و Volo Protocol حوادثی شامل نقص منطق قرارداد و به خطر افتادن کلید خصوصی را به ترتیب فاش کردند. در حالی که این موارد از نظر مقیاس کوچکتر بودند، تکرار آسیبپذیریها در لایههای مختلف دیفای را تأیید میکنند.
چشمانداز ریسک پراکنده
در مجموع، حوادث آوریل یک محیط ریسک پراکنده را نشان میدهند نه یک نقطه شکست واحد.
اکسپلویتها در موارد زیر رخ دادهاند:
- منطق قرارداد هوشمند
- سیستمهای مدیریت کلید
- زیرساخت دامنه
- پلهای میان زنجیرهای (پلهای کراسچین)
- پارامترهای طراحی پروتکل
این گستردگی نشان میدهد که ریسک در دیفای تنها به آسیبپذیریهای کد محدود نمیشود بلکه به امنیت عملیاتی و معماری سیستم نیز گسترش مییابد.
خلاصه نهایی
- اکسپلویت Aftermath به موجی از حوادث آوریل افزوده میشود که بیش از ۶۰۰ میلیون دلار زیان گزارششده عمدتاً ناشی از چند رویداد اصلی است.
- ترکیبی از باگهای قرارداد، به خطر افتادن کلیدها و ریسکهای زیرساختی ماهیت چندلایه چالشهای امنیتی در دیفای را برجسته میکند.
Source: https://ambcrypto.com/aftermath-exploit-adds-to-aprils-growing-list-of-defi-security-incidents/
