چند روز پیش اپلیکیشن غیرمتمرکز غیرمتمرکز FixedFloat به زیرساخت خود دچار حمله هک شد که منجر به زیان 26 میلیون دلاری شد.
به گفته شرکت حسابرسی و تجزیه و تحلیل بلاک چین PeckShield، در مجموع 1728 ETH و 409 BTC به سرقت رفت: برخی از پول ها سپس با عبور از میکسرهای غیرمتمرکز و تراکنش های coinjoin شسته شد.
FixedFloat اعلام کرده است که وجوه کاربر ایمن است و هک شده ثبات مالی برنامه تبادل ارز دیجیتال را به خطر نینداخته است.
تمام جزئیات زیر
آسیبپذیری در ساختار FixedFloat: برنامه غیرمتمرکز با هک ۲۶ میلیون دلاری در BTC و ETH مواجه میشود.
روز شنبه، 17 فوریه، برنامه غیرمتمرکز صرافی ارزهای دیجیتال FixedFloat قربانی هک شد. ضرر 26 میلیون دلاری در BTC و ETH.
همه چیز از آنجا شروع شد که چندین کاربر گزارش دادند که تراکنش های مسدود شده و کمبود وجوه در حساب های خود را تجربه کرده اند. مدت کوتاهی پس از آن، از طریق تجزیه و تحلیل زنجیره ای کشف شد که چندین میلیون دلار به کیف پول های خارجی ناشناخته مختلف تخلیه شده بود.
اگرچه هنوز مشخص نیست که حمله چگونه رخ داده است، تیم FixedFloat بی درنگ توضیح داد که این یک "مشکل فنی کوچک” در زمان حادثه
همین موضوع اعلام کرده است که وجوه به کاربران پلتفرم بازپرداخت خواهد شد و این هک ثبات مالی شرکت را به خطر نینداخته است.
به هر حال در زمان نگارش مقاله برنامه غیرمتمرکز غیر فعال و در حالت نگهداری باقی می ماند، اما به محض اطمینان از ایمن بودن استفاده، در آینده ای نامشخص بازگشایی خواهد شد.
در اینجا آنچه در X توسط Fixed FixedFloat پس از هک گزارش شده است:
صرافی غیرمتمرکز به دلیل خدمات غیر KYC خود شناخته شده است، که نیازی به ثبت نام تحت رویه کلاسیک «مشتری خود را بشناسید»، امکان مزیت رقابتی از نظر حریم خصوصی را فراهم می کند.
FixedFloat با ارائه امکان ناشناس ماندن و اجازه تراکنش های بیت کوین از طریق شبکه لایتنینگ به مشتریان خود، طیف گسترده ای از کاربران ایالات متحده را به خود جذب کرده است.
تا حدی، مشخصه ناشناس بودن و فقدان کنترلهای داخلی به حمله هکرهای مخرب کمک میکند که مجبور نبودند اطلاعات شخصی خود را برای دسترسی به برنامه ارائه دهند.
طبق گفته شرکت تحلیل امنیت سایبری و بلاک چین PeckShieldاین دزدی دقیقاً معادل 1728 ETH به ارزش 4.85 میلیون دلار و 409 BTC به ارزش تقریباً 21 میلیون دلار است.
بیشتر اتر حاصل از هک قبلاً به طیف گسترده ای از صرافی های غیرمتمرکز در بلاک چین اتریوم منتقل شده است.
FixedFloat گزارش داده است که آنها با مجری قانون، شرکتهای پزشکی قانونی بلاک چین و صرافیهای ارزهای دیجیتال برای ردیابی هکرهایی که هنوز با صرافی تماس نگرفتهاند، کار میکنند.
این شرکت اعلام کرده است که به تمام تعهدات پرداخت خود عمل خواهد کرد به محض از سرگیری فعالیت و اطمینان از اینکه صرافی برای استفاده مجدد ایمن خواهد بود.
بخشی از بیت کوین دزدیده شده از هک از طریق یک عملیات coinjoin بازیافت شد
در حالی که ETH به سرقت رفته از هک برنامه غیرمتمرکز FixedFloat به راحتی به ده ها آدرس مختلف منتقل شده و از طریق بلاک چین اتریوم در گردش است. بیت کوین هایی که بخشی از همان لوت هستند در شرف بازیافت هستند با معاملات coinjoin
یادآوری می کنیم که coinjoin نوعی عملیات بیت کوین است که برای اولین بار توسط گریگوری ماکسول در سال 2013 نظریه پردازی شد. چندین پرداخت بیت کوین در یک تراکنش ترکیب می شوند، تعیین اینکه کدام آدرس ها چه مقدار هزینه کرده اند را دشوار می کند.
مشابه آنچه که در مورد میکسرهای غیرمتمرکز مانند تورنادو کش اتفاق می افتد، تراکنش های coinjoin با یکدیگر ترکیب می شوند تا یک تراکنش واحد را در یک استخر مشترک انجام دهند، که سپرده گذاران می توانند سپس از آن درخواست بازپس گیری کنند. وجوه "تلفیقی" و ناشناس.
در مورد ما، هکر از نوعی میکسر بهره برداری کرد که از روشی برای افزایش حریم خصوصی مشابه coinjoin استفاده می کند، جایی که چندین بیت کوین قبلا مبادله شده است.
به طور خاص، می توانیم تأیید کنیم که طبق آنچه توسط یک محقق web3 در X توضیح داده شده است، بخشی از وجوه دزدیده شده، به طور دقیق 2.7544 BTC، به آدرس سرازیر شده است.
34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA که متعلق به CEX TradeOgre است.
این پول می تواند نشان دهنده پورسانتی باشد که عامل مخرب برای استفاده از میکسر پرداخت می کند به نظر می رسد به برنامه Whirpool که یک سیستم حریم خصوصی پیشرفته را پیاده سازی می کند، مرتبط شود.
اعتقاد بر این است که 166 از 409 بیت کوین به سرقت رفته از برنامه غیرمتمرکز FixedFloat قبلاً از میکسر Whirpool عبور کرده است.
حوادثی مانند این در محیط های رمزنگاری، به ویژه در محیط های غیر KYC که به نوعی از ناشناس بودن هکرها محافظت می کنند، معمول است.
به گفته شرکت تحقیقاتی پزشکی قانونی زنجیره ای Chainalysis، با وجود حوادث متعدد ثبت شده در سال 2023 هک ها و اکسپلویت ها نسبت به سال قبل در حال کاهش است، زمانی که دزدی ها رونق داشت.
به طور کلی، ارزش وجوه هک شده در مقایسه با سال 54.3 حدود 2022 درصد کاهش یافته است و مجموع مبلغ سرقت شده در حدود 1.7 میلیارد دلار است که عمدتا از هک برنامه های DeFi ناشی شده است.
منبع: https://en.cryptonomist.ch/2024/02/20/the-decentralized-application-fixedfloat-falls-victim-to-a-26-million-hack/