به گزارش بازار، بر اساس گزارش شرکتهای امنیتی بلاک چین، مهاجمان با سوءاستفاده از نقص در سیستم اوراکل قیمت، توانستند از دادههایی با امضای معتبر اما دارای زمانبندی نادرست استفاده کنند و معاملات سودآوری ایجاد کنند که با شرایط واقعی بازار مطابقت نداشت.
این حادثه در تاریخ ۲۴ تیر رخ داد و طبق بررسی شرکتهای امنیتی سایورز (Cyvers) و بلاکاید (Blockaid)، مهاجم از یک فرستنده معتبر برای ارسال گزارشهای اوراکل استفاده کرده است. مشکل اصلی این بود که سیستم آستیوم نتوانست بررسی کند آیا زمان ثبت این دادهها با زمان واقعی بازار مطابقت دارد یا خیر. در نتیجه، قیمتهایی مربوط به آینده توسط پروتکل پذیرفته شد و مهاجم توانست از این اختلاف زمانی برای کسب سود استفاده کند.
کالیدورا کیرنان-لین (Kaledora Kiernan-Linn)، همبنیانگذار آستیوم، ضمن تأیید توقف موقت معاملات اعلام کرد که تیم این پروژه در حال همکاری با متخصصان امنیتی و نهادهای مربوطه برای بررسی حادثه و ردیابی داراییهای خارجشده است.
نقص در اعتبارسنجی دادههای اوراکل
تحلیلهای فنی نشان میدهد این حمله برخلاف بسیاری از نفوذهای رایج، ناشی از جعل امضا یا دسترسی غیرمجاز به سیستم نبود. دادههای مورد استفاده مهاجم دارای امضای دیجیتال معتبر بودند، اما قراردادهای هوشمند آستیوم کنترلهای کافی برای بررسی زمانبندی دادهها و غیرمنطقی بودن تغییرات قیمت نداشتند.
بررسی کد قراردادهای آستیوم در شبکه آربیتروم نشان میدهد که اگرچه اعتبار فرستنده دادهها بررسی میشد، اما محدودیتهای کافی برای جلوگیری از پذیرش قیمتهای مربوط به آینده یا تغییرات غیرعادی قیمت وجود نداشت. همین ضعف به مهاجم اجازه داد از اطلاعات نادرست برای ایجاد موقعیتهای معاملاتی سودده استفاده کند.
بر اساس گزارش پکشیلد (PeckShield)، بخش عمده داراییهای خارجشده به صورت استیبل کوین USDC بوده است. این شرکت اعلام کرد بخشی از این وجوه پس از جابهجایی به داراییهای دیگر، به آدرسهایی مرتبط با میکسر تورنادو کش (Tornado Cash) منتقل شده است.





نظر شما