شرکت امنیتی بلاکچین پکشیلد (PeckShield)، آسیبپذیریهایی را شناسایی کرده که بر پروژههای مالی غیرمتمرکز (DeFi)، بهویژه بر ییلد فارمینگ آوه تأثیر میگذارند.
این آسیبپذیری که به عنوان یک حمله ورود مجدد (Reentrancy) شناخته میشود، منجر به سرقت حدود 287 هزار دلار اتریوم از این پروتکل شد.
در حمله ورود مجدد مذکور، مهاجمان با فراخوانی مکرر توابعی که قبل از تکمیل فراخوانی تابع اولیه با قراردادها تعامل دارند، یک سیستم را دستکاری میکنند. این امر به آنها امکان میدهد تا منابع یا بودجه بیشتری نسبت به آنچه در نظر گرفته شده است، به دست آورند.
حمله به سرویس ییلد فارمینگ آوه یادآور حمله قبلی به استخرهای نقدینگی کرو فایننس (Curve Finance) است که منجر به ضرر بیش از 61 میلیون دلاری در 30 ژوئیه شد.
لازم به ذکر است که سوءاستفاده از کرو فایننس توسط آسیبپذیری موجود در زبان برنامهنویسی وایپر (Vyper) که در پروتکلهای دیفای استفاده میشود، تسهیل شده بود.
هدف ییلد فارمینگ آوه که برای دارندگان اتریوم، رپد بیت کوین و USDC طراحی شده، ارائه یک پروتکل کاربرپسند است.
شرکت امنیتی اسلومیست (Slowmist) قراردادهای بلاکچین ییلد فارمینگ آوه را حسابرسی کرده بود و تلاشهای پروتکل برای اطمینان از امنیت را برجسته میکرد.
این پروتکل قبلاً و در اکتبر 2022 هم از طریق حملات وام سریع (Flash Loan Attack) با هکهای مخربی مواجه شد و 750 اتریوم از دست داد.
این حوادث بر چالشهای مستمر ایمنسازی پروژههای دیفای و نیاز به هوشیاری مداوم در رسیدگی به آسیبپذیریهای درون این اکوسیستم تأکید میکنند.