هکرها ۲.۱ میلیون دلار از پروتکل جیم نتورک سرقت کردند

پروتکل GYM Network یک  تجمیع کننده بین پروتکلی DeFi است که برای بهینه‌سازی فرآیند کشت سود در زنجیره BNB و ساده‌سازی آن برای تازه‌کارها طراحی شده است.

GYM Network اجازه داد که افزایش موجودی بدون واریز پول انجام شود
طبق بیانیه ای که توسط ارائه دهنده امنیت سایبری PeckShield به اشتراک گذاشته شده است، یکی از بخش های GYM Network یعنی GymSinglePool، امروز، ۸ ژوئن ۲۰۲۲ مورد حمله قرار گرفت.

معماری استخر این شبکه فاقد ابزار تأیید گیرنده بود: کلاهبرداران توانستند موجودی خود را بدون ارسال پول افزایش دهند.

این نقص در طراحی با سرقت بیش از ۲/۱ میلیون دلار مورد سوء استفاده قرار گرفت. مهاجمان بلافاصله شروع به انتقال این دارایی ها به سرویس تراکنش Tornado Cash کردند.

GYM، ابزار اصلی و توکن بومی این پروتکل، بلافاصله بیش از ۵۰ درصد از ارزش خود را از دست داد و از ۰/۰۰۰۹۹ دلار به ۰/۰۰۰۴۸ دلار سقوط کرد.

پروتکل های بیشتری در معرض خطر هستند؟
از قضا، این پروتکل دو بار توسط PeckShield و CertiK بررسی شده بود. همچنین، از پایگاه کد Alpaca Finance استفاده می‌کند که تا به حال ۲۰ بار حسابرسی شده است.

Kyrian Alex (Kyrian.sol)، محقق بلاک چین، تاکید کرد که شبکه GYM تنها پروتکلی نیست که این نقص طراحی را دارد:

این اولین پروتکلی نیست که به دلیل “عدم تایید گیرنده” هک می‌شود. به نظر می‌رسد باید تعداد زیادی از این دست پروتکل ها را بررسی کنم و به دنبال همین آسیب پذیری باشم.

نمایندگان تیم GYM این حمله را تایید کردند. مدیر شبکه های اجتماعی GYM توضیح داد که این آسیب‌پذیری در ابزار جدیدی با عنوان «Claim and Reinvest» که دو روز پیش به کار گرفته شد، پیدا شده است.

این تیم اضافه کرد که تا زمان انتشار این مقاله، منبع باگ شناسایی و رفع شده است.