یک حملهی چند میلیون دلاری دیگر به حوزهی دیفای (DeFi) وارد شده است. این بار، ارائهدهندهی نقدینگی و بازارساز TrustedVolumes از طریق یک آسیبپذیری در قرارداد هوشمند در شب پنجشنبه مورد بهرهبرداری قرار گرفت.
مطالعهی مرتبط: سولانا پس از شکست مثلث، به دنبال صعود جدید است – آیا ۹۶ دلار ایستگاه بعدی است؟
TrustedVolumes با هک ۶.۷ میلیون دلاری مواجه شد
در روز پنجشنبه، پلتفرم دیفای TrustedVolumes—یکی از ارائهدهندگان نقدینگی و بازارسازان ۱inch—با یک بهرهبرداری جدید مواجه شد که میلیونها دلار از داراییهای مختلف این پروژه را تخلیه کرد. به گفتهی شرکتهای امنیتی بلاکچین PeckShield و Blockaid، مهاجم حدود ۶ میلیون دلار از اتریوم بستهبندیشده (WETH)، بیتکوین بستهبندیشده (WBTC)، USDT و USDC را به سرقت برد. آنها این کار را با بهرهبرداری از یک نقص در منطق اعتبارسنجی امضای اصلی پروتکل انجام دادند که به آنها اجازه میداد از بررسیهای مجوز عبور کرده و سفارشهای معاملاتی جعلی ایجاد کنند.
قابل توجه است که هکر به سرعت تمام داراییهای دزدیدهشده را در یک صرافی غیرمتمرکز (DEX) با ۲,۵۱۳ اتریوم (ETH) مبادله کرد و آنها را در سه آدرس مختلف پخش کرد. TrustedVolumes در یک پست در X این حادثه را تأیید کرد، آدرسهایی که در حال حاضر وجوه دزدیدهشده را در خود نگه میدارند به اشتراک گذاشت و برآورد ضرر را به حدود ۶.۷ میلیون دلار بهروزرسانی کرد.
آسیبپذیری در یک پروکسی سفارشی RFQ (درخواست قیمت) که توسط TrustedVolumes کنترل میشد، قرار داشت. هامفری، محقق ارزهای دیجیتال، توضیح داد که «قرارداد پروکسی سفارشی RFQ یک تابع دارد که برای مدیریت لیست سفید «امضاکنندهی مجاز سفارش» طراحی شده است. این سیستمهای لیست سفید در دیفای رایج هستند—فقط آدرسهای موجود در لیست میتوانند دستورالعملهای معاملاتی معتبر را از طرف پروتکل صادر کنند.» با این حال، او اشاره کرد که «این تابع ثبتنام عمومی است و هیچ محدودیت دسترسی ندارد.» در نتیجه، مهاجم از این تابع عمومی برای اضافه کردن خود به عنوان یک امضاکنندهی مجاز سفارش استفاده کرد. «از آنجایی که هر آدرس خارجی میتواند این تابع را فراخوانی کند، مثل این است که به همه توانایی کپی کردن کلید گاوصندوق را بدهیم،» محقق افزود.
همان هکر، حملهای متفاوت
گزارشهای آنلاین نشان داد که مهاجم همان شخصی بود که پشت بهرهبرداری ۵ میلیون دلاری از قرارداد تسویهی ۱inch Fusion V1 در مارس ۲۰۲۵ بود، جایی که TrustedVolumes نیز قربانی اصلی بود. هامفری خاطرنشان کرد که در حالی که همان فرد هر دو حمله را انجام داده است، از نظر فنی بسیار متفاوت بودند.
طبق این پست، آسیبپذیری سال ۲۰۲۵ شامل دستکاری حافظهی سطح پایین EVM در قرارداد تسویهی ۱inch Fusion V1 بود. در آن زمان، هکر «به طور فعال مذاکرات زنجیرهای را آغاز کرد» و پیشنهاد بازگرداندن وجوه دزدیدهشده را در ازای یک پاداش هت سفید (white hat bounty) داد. پلتفرم دیفای این پیشنهاد را پذیرفت و بیشتر پول به سلامت بازگردانده شد. اکنون، TrustedVolumes اعلام کرده است که «برای ارتباط سازنده در مورد یک پاداش باگ و یک راهحل قابل قبول برای هر دو طرف، باز است.»
تجمیعکنندهی صرافی غیرمتمرکز ۱inch توضیح داد که سیستمها، زیرساختها و وجوه کاربران آن تحت تأثیر قرار نگرفته است. این پلتفرم توضیح داد که «TrustedVolumes به طور مستقل به عنوان یک ارائهدهندهی نقدینگی فعالیت میکند که توسط بسیاری از پروتکلها در سراسر صنعت استفاده میشود و منحصر به ۱inch نیست.»
بهرهبرداریهای دیفای شاهد افزایش تاریخی است
این حمله به دنبال موجی از بهرهبرداریها است که بخش دیفای را در ماه گذشته متزلزل کرده است. هفتهی گذشته، PeckShield گزارش داد که فضای ارزهای دیجیتال در آوریل شاهد ۴۰ هک بزرگ بوده است که حدود ۶۴۷ میلیون دلار را تخلیه کرده است.
مطالعهی مرتبط: کلاهبرداری ۱۵۰ میلیون دلاری پانزی فرو ریخت: ۴۱.۵ میلیون دلار در سقوط صرافی DSJ مسدود شد
این رقم نشاندهندهی افزایش ۱,۱۴۰ درصدی ماهانه نسبت به ۵۲.۲ میلیون دلار مارس است. همچنین نشاندهندهی جهش ۲۹۲ درصدی نسبت به ۱۶۵ میلیون دلاری است که در بخش دیفای در سهماههی اول سال ۲۰۲۶ از دست رفته است. قابل توجه است که دو حادثهی بزرگ ماه—بهرهبرداری ۲۸۵ میلیون دلاری Drift Protocol و بهرهبرداری ۲۹۰ میلیون دلاری KelpDAO—۹۱ درصد از وجوه از دست رفته در آوریل را تشکیل میدهند. این دو حمله اکنون در میان ۱۰ هک برتر از سال ۲۰۲۱ قرار دارند.
تصویر ویژه از Unsplash.com، نمودار از TradingView.com
سوالات متداول
در اینجا لیستی از سوالات متداول درباره هک TrustedVolumes به زبانی طبیعی، واضح و مختصر آورده شده است
سوالات متداول هک ۶.۷ میلیون دلاری TrustedVolumes
سوالات سطح مبتدی
سوال چه اتفاقی برای TrustedVolumes افتاد؟
پاسخ یک پلتفرم دیفای به نام TrustedVolumes هک شد. مهاجم حدود ۶.۷ میلیون دلار ارز دیجیتال از قراردادهای هوشمند آن به سرقت برد.
سوال آیا پول من در TrustedVolumes در حال حاضر امن است؟
پاسخ خیر. این پلتفرم به خطر افتاده است. اگر وجوهی در قراردادهای آسیبدیده داشتید، احتمالاً از دست رفتهاند. باید فوراً اعلامیههای رسمی TrustedVolumes را برای بهروزرسانی در مورد برنامهی بازیابی یا مسدودسازی بررسی کنید.
سوال هک قرارداد هوشمند چیست؟
پاسخ قرارداد هوشمند مانند یک توافقنامهی دیجیتال خوداجرا در بلاکچین است. هک به این معنی است که مهاجم یک نقص در آن کد پیدا کرده است—مانند یک در پشتی مخفی یا یک خطای منطقی—و از آن برای تخلیه وجوه استفاده کرده است.
سوال آیا پول دزدیدهشدهام را پس میگیرم؟
پاسخ بسیار بعید است. در بیشتر هکهای دیفای، وجوه دزدیدهشده به سرعت جابهجا و از طریق میکسرها یا بلاکچینهای دیگر پولشویی میشوند و بازیابی را بسیار دشوار میکنند. هیچ تضمینی وجود ندارد.
سوال چگونه این اتفاق در سال ۲۰۲۶ رخ داد؟ مگر پلتفرمهای دیفای الان امنتر نیستند؟
پاسخ متأسفانه خیر. در حالی که امنیت بهبود یافته است، هکرها نیز پیچیدهتر شدهاند. پروتکلهای پیچیدهی جدید، بهروزرسانیهای عجولانهی کد و حملات دستکاری اوراکل همچنان رایج هستند. سال ۲۰۲۶ شاهد افزایش شدید این بهرهبرداریها بوده است.
سوالات سطح پیشرفته
سوال چه نوع بهرهبرداری خاصی علیه TrustedVolumes استفاده شد؟
پاسخ در حالی که حسابرسی کامل در انتظار است، گزارشهای اولیه حاکی از یک حملهی وام فلش (flash loan) همراه با دستکاری قیمت اوراکل است. مهاجم مقدار زیادی ارز دیجیتال بدون وثیقه قرض گرفت، به طور مصنوعی قیمت یک توکن را در TrustedVolumes تغییر داد و سپس داراییهای قرضگرفتهشده را با سود قبل از بازپرداخت وام فروخت.
سوال آیا این یک باگ در کد بود یا یک کلید خصوصی دزدیده شد؟
پاسخ به نظر میرسد که یک باگ منطقی در قرارداد هوشمند باشد، نه دزدیده شدن کلید مدیریتی. مهاجم از یک نقص در نحوهی محاسبهی نسبتهای وثیقه توسط پلتفرم در طول یک تابع معاملاتی خاص بهرهبرداری کرد. این بدان معناست که خود کد آسیبپذیر بود، نه یک رمز عبور به خطر افتاده.