תקני אסימונים חדשים מציגים מורכבות שיישומי DeFi עדיין לומדים כיצד להתמודד איתה.
דוגמה מצוינת: CREAM Finance בשוק הכסף נפגעה במתקפת כניסה חוזרת ב-30 באוגוסט שאפשרה לתוקפים לרוקן 22.8 מיליון דולר באסימון AMP של Flexa ו-ETH בשווי 4.2 מיליון דולר (בהתבסס על מחירי שוק במסחר באמצע הבוקר ביום שני).
חברת האבטחה בלוקצ'יין Peckshield ייחסה את המתקפה לאופן פעולתו של אסימון ה-AMP. החברה צייצה בטוויטר, "הפריצה מתאפשרת עקב באג של כניסה חוזרת שהוצג על ידי $AMP, שהוא אסימון דמוי ERC-777 ומנוצל כדי לשאול מחדש נכסים במהלך העברתו לפני עדכון ההשאלה הראשונה."
עם נכסים של 82.4 מיליארד דולר הכלואים כיום על חוזים חכמים של מימון מבוזר (DeFi), התעשייה מציגה סיר דבש מפתה עבור פושעי סייבר. היו שלל התקפות דומות השנה, כולל תקיפה קודמת על CREAM בפברואר.
Flexa היא רשת תשלומים התומכת בקריפטו הפועלת על Ethereum. היא משתמשת באסימון ה-AMP שלה כדי להבטיח תשלומים ברשת שלה עד לסיומם. המייסד שלה, טיילר ספאלדינג, אמר ל-The Defiant באמצעות טלגרם, "אנחנו חושבים ש-AMP מתפקד כמצופה/מתוכנן. נראה שמדובר בפגיעות של הלוואות בזק ב-CREAM."
בעיות ידועות?
רוב פושעי הסייבר אינם ממציאים מעללים חדשים באופן יצירתי. פעמים רבות, הם פשוט מנסים התקפות ידועות על רשתות שונות כדי לראות אם משהו עובד. דוגמה לכך, אמר ספאלדינג, בהתבסס על הבנתו, הנושא שהוביל למתקפה על CREAM דומה לבעיה שהייתה ל-ConsenSys Diligence זוהה ב-Uniswap ב-2019. הצוות שלו פנה אל CREAM כדי לתאם מה לעשות הלאה.
אמיליו פרנגלה מהצוות הטכני בפרוטוקול אחר של שוק הכסף Aave, אמר ל-The Defiant שמכשירי ERC-777 דורשים טיפול מיוחד.
"אם לפרוטוקול אין הגנות מתאימות לכניסה חוזרת או שהוא לא מיושם באופן שהופך את הכניסה מחדש ללא מזיקה, זה יכול לשמש כדי לבלבל את החשבונאות הפנימית של הפרוטוקול. זה יכול לגרום, למשל, למשתמש עם בטחונות גבוהים בהרבה ממה שהופקד בפועל", כתב פרנגל'ה באמצעות טלגרם.
CREAM Finance לא היה נגיש מיד על ידי The Defiant.
