سرقت ۵.۹ میلیون دلاری از پلتفرم تراستد ولومز؛ هک جدید در شبکه اتریوم

پلتفرم تراستد ولومز (TrustedVolumes)، که به عنوان تأمین‌کننده نقدینگی در بلاک چین اتریوم فعالیت می‌کند، هدف یک حمله سایبری قرار گرفت و حدود ۵.۹ میلیون دلار از دارایی‌های خود را از دست داد. هکر با سوءاستفاده از یک نقص امنیتی در سیستم معاملاتی اختصاصی این پلتفرم، موفق شد مقادیر قابل‌توجهی ارز دیجیتال شامل اتریوم، رپد بیت کوین و استیبل کوین های تتر و یواس‌دی کوین را خارج کند.

طبق گزارش‌ها، اتریوم و سایر دارایی‌های مسروقه در زمان انتقال به کیف پول مهاجم، مجموعاً بیش از ۵.۸ میلیون دلار ارزش داشته است. بر اساس تحلیل شرکت امنیتی بلاک اید (Blockaid)، این حمله با بهره‌جویی از یک خطای طراحی در پروکسی پروپوزال قیمت (RFQ) تراستد ولومز انجام شده است.

مهاجم با استفاده از قابلیتی که به صورت عمومی در دسترس بود، خود را به عنوان امضا‌کننده مجاز سفارش‌ها ثبت کرد. سیستم در مرحله نهایی بررسی، اجازه برداشت وجه از حسابی را صادر می‌کرد که با حساب تأییدکننده متفاوت بود؛ همین شکاف امنیتی به هکر اجازه داد تا طی چهار تراکنش، حجم عظیمی از دارایی‌ها را به سرقت ببرد.

از آنجا که تراستد ولومز به عنوان بازارساز در پلتفرم وان اینچ (1inch) فعالیت می‌کند، در ابتدا شایعاتی مبنی بر هک شدن این صرافی غیرمتمرکز منتشر شد. با این حال، تیم توسعه‌دهنده وان اینچ با انتشار بیانیه‌ای رسمی اعلام کرد که زیرساخت‌های این پروتکل کاملاً امن است و هیچ‌یک از دارایی‌های کاربران این صرافی تحت تأثیر قرار نگرفته است. بلوک اید نیز تأیید کرد که مشکل صرفاً در کدهای اختصاصی ترستد ولومز بوده است.

تیم امنیتی بلاک اید (Blockaid) در حساب ایکس (X) خود گفت:

این سرقت در حالی رخ می‌دهد که اکوسیستم امور مالی غیرمتمرکز (DeFi) دوران سختی را سپری می‌کند. در ماه آوریل، بیش از ۶۵۰ میلیون دلار ارز دیجیتال از پروژه‌های مختلف نظیر کلپ دائو (KelpDAO) و دریفت پروتکل (Drift Protocol) به سرقت رفت. اگرچه مبلغ سرقت شده از تراستد ولومز در مقایسه با ارقام ماه گذشته کمتر است، اما پیچیدگی فنی این حمله و بهره‌جویی از تداخل منابع مالی در یک تراکنش واحد، زنگ خطر را برای سایر تأمین‌کنندگان نقدینگی به صدا درآورده است.