سوءاستفاده از وام فلش در بایننس «اسمارت چین»
رسانه کلیک - صرافی غیرمتمرکز پرحاشیه بایننس اسمارت چین (Binance Smart Chain) در روزهای اخیر دوباره خبرساز شد. ظاهرا برنامههای غیرمتمرکزی (Dapps) که بایننس اسمارت چین از آنها میزبانی میکند هدف 8 حمله وام فلش (Flash Loan) در چند روز گذشته بودهاند. بااینحال، شایع است که مقدار ازدسترفته نزدیک به یک میلیارد دلار است.
بایننس اظهار کرد که هکرهای سازمانیافته بایننس اسمارت چین را هدف قرار دادهاند. توییتر رسمی بایننس اسمارت چین درباره این حملات نوشت:
بیش از 8 حمله وام فلش اخیرا اتفاق افتاده است. ما معتقدیم که هکرهای سازمانیافته بایننس اسمارت چین را مورد هدف قرار دادهاند. ما خواستار اقداماتی توسط همه برنامههای غیرمتمرکز هستیم.
برخی از فعالان این حوزه اعلام کردند که اگر بایننس اسمارت چین متمرکز است، آنها باید بتوانند خودشان این مشکل را برطرف کنند. این قابلیت مهمترین مزیت یک عملیات متمرکز است. همچنین، اگر این بایننس اسمارت چین متمرکز باشد، دیگر نمیتوان پروژههایی را که میزبانی میکند، «برنامههای غیرمتمرکز» نامید.
اکنون بایننس خواهان انجام امور زیر توسط پروژهها است:
- با شرکتهای حسابرسی خود کار کنید تا یک بررسی سلامت دیگر انجام دهید. اگر در پروژههایی فورک هستید، لطفا تغییرات خود را از نسخه اصلی چندین مرتبه بررسی کنید.
- اقدامات لازم جهت کنترل ریسک را برای نظارت فعال بر هرگونه ناهنجاری در لحظه انجام داده و درصورتیکه هرگونه ناهنجاری رخ داد، پروتکلها را متوقف کنید.
- برای بدترین حالت که اگر یک حمله واقعا در حال انجام بود، برنامهریزی کنید.
- در صورت امکان برنامه پاداش یا immunefi خود را راهاندازی کنید.
آنها همچنین از سوی شرکتهای امنیت بلاک چین PeckSheild و CertiK Security Leaderboard مشاوره رایگان ارائه میدهند.
حمله وام فلش چگونه کار میکند؟
دنیای دیفای (امور مالی غیرمتمرکز یا DeFi) اکنون مانند غرب وحشی است. این یکی از دلایلی است که باعث میشود دیفای بسیار هیجانانگیز، سریع و سرگرمکننده باشد. بااینحال خطرات زیادی کاربران و حتی توسعهدهندگان را تهدید میکند. این حمله خاص توسعهدهندگان را هدف قرار میدهد و از وام فلش که یکی از اصلیترین خدمات دیفای است، برای انجام این کار استفاده میکند.
اساسا، وام فلش به کاربران این امکان را میدهد که مقادیر زیادی از یک دارایی خاص را از استخرهای نقدینگی داخلِ چین قرض بگیرند و در همان تراکنش بازگردانند. آنها کارمزد پایینی پرداخت میکنند و هر دو طرف از این خدمت راضی هستند. مشکل این است که از آن مقدار دارایی میتوان با یک مبادله بزرگ برای دستکاری بازار استفاده کرد.
بنابراین، پروتکلهایی که فقط از یک صرافی غیرمتمرکز (Decentralized exchange یا بهاختصار DeX) مبتنی بر بلاک چین بهعنوان تنها اوراکل قیمت استفاده میکنند، در معرض خطر هستند. مهاجمان فقط باید یک وام فلش از یک توکن گرفته و آن را در یک صرافی غیرمتمرکز به یک توکن دیگر تبدیل کنند. با این کار هر دو قیمت را دستکاری میکنند؛ یکی بالا رفته و دیگری پایین میرود. سپس آنها به پروتکل هدف خود میروند و از توکن دوم برای قرض گرفتن مقدار بیشتری از توکن اول استفاده میکنند. با چنین اقدامی، آنها وام خود را پرداخت میکنند، مابهالتفاوت را به جیب میزنند و منتظر هستند تا بازار قیمت دستکاری شده را اصلاح کند.
چین لینک (ChainLink) در این باره بیشتر توضیح داد:
این هکرها قادر بودند ارزش گزارششده توکن وثیقه را افزایش و ارزش گزارششده توکن وامگرفته شده را کاهش دهند. این امر به مهاجمان اجازه داد بیشتر از آنچه باید داشته باشند، قرض بگیرند و یک معامله زهرآگین که هیچگاه نمیتواند به طور کامل نقد شود، ایجاد کنند، زیرا ارزش وثیقه کمتر از بدهی است.