در پی نقض امنیتی بزرگ، فلـامینگو فاینانس گزارشی جامع منتشر کرده است که به بررسی سوء استفاده اخیر در قرارداد پل Cross-chain CMCC شبکه Poly Network میپردازد.
این حادثه که در تاریخ ۱۲ اوت ۲۰۲۴ رخ داد، منجر به سرقت حدود ۵ میلیون دلار ا�یایی شد که پل زنجیرهای Neo N3 را تحت تاثیر قرار داده و منجر به توقف عملیات آن شد.
این رویداد منجر به تحقیقات گسترده و مجموعهای از تلاشهای بازیابی شد که توسط فلـامینگو فاینانس به همراه Neo Global Development (NGD) و Poly Network هدایت میشود.
سوء استفاده شبکه پلی: سرقت ۵ میلیون دلار
نقض امنیتی در ۱۲ اوت قرارداد CMCC شبکه Poly را هدف قرار داد، که به هکرها اجازه سوء استفاده از آسیبپذیریهای قرارداد هوشمند را داده و حدود ۴ تا ۵ میلیون دلار دارایی را برداشت نمودند.
داراییهای دزدیده شده شامل حدود ۲۰-۲۵ درصد از تمام داراییهای زنجیرهای متقابل و توکنهای معروفی مانند fUSDT، fWBTC، fWETH، fBNB، fCAKE، pWING، و pONT بودند.
این داراییها از کیف پول داغ پل دزدیده شدند، در حالی که کیف پول سرد امن باقی ماند و از از دست دادن بیشتر جلوگیری کرد.
فلـامینگو فاینانس و شرکایش که در پاسخ به نقض سریع اقدام کردند، هر کیف پول مرتبط با سوء استفاده را مسدود کرده و تحقیقات برای ردیابی داراییهای دزدیده شده را آغاز کردند.
با وجود این تلاشها، هکر هنوز داراییها را برنگردانده است، هرچند پاداشی برای بازگرداندن آنها در نظر گرفته شده تا انگیزهای برای بازگرداندن آنها فراهم شود.
فلـامینگو فاینانس امیدوار است که داراییها بازیابی شوند، هرچند که این نتیجه تضمین نشده است.
به عنوان یک نتیجه مستقیم از این سوء استفاده، ارزش داراییهای زنجیرهای f- و p- در پلتفرم فلـامینگو بهشدت تحت تاثیر قرار گرفتهاند.
این داراییها در حال حاضر با تقریباً ۷۵-۸۰ درصد از ارزش نسخههای بدون پوشش (unwrap) خود معامله میشوند، که منعکس کننده بخش از دست رفته آنها است.
ابتکار حمایت از دارایی: مسیری برای بازیابی
فلـامینگو فاینانس ابتکار حمایت از داراییها را معرفی کرده است، برنامه بازیابی جامع برای کاهش خسارتهای وارده به دارندگان داراییهای f- و p- آسیبدیده.
محور اصلی ابتکار حمایت از دارایی، توزیع ۴۰,۰۰۰,۰۰۰ توکن FLOCKS معادل ۴۰,۰۰۰,۰۰۰ FLM (با ارزشی حدود ۲.۵ میلیون دلار) طی دو سال است.
این توکنها به کاربران جبران خواهند شد که داراییهای f- و p- خود را به یک دارایی جدید که به طور کامل در زنجیره منبع پشتیبانی میشود، مهاجرت میکنند و اطمینان میدهند که پیوند (peg) بازیابی و ثبات بیشتری حاصل میشود.
فرایند مهاجرت به کاربران اجازه میدهد تا داراییهای فعلی زنجیرهای خود را با نسخههای جدید ۱:۱ با نسخههای بدون پوشش مطابق کنند.
علاوه بر داراییهای جدید، کاربران نیمهی درک شدهی خسارتهای خود را در قالب توکنهای FLOCKS دریافت خواهند کرد که طی ۲۴ پرداخت ماهانه تقسیم میشود.
این جبران تدریجی هدفش کاهش ضربه مالی و ارائه راهی برای کاربران جهت بازپرداخت بخشی از خسارتهای خود در طول زمان است.
فلـامینگو فاینانس بیان کرده است که اگر داراییهای دزدیده شده بازیابی شوند، پرداختهای توکن FLOCKS متوقف خواهد شد و داراییها به کاربران آسیبدیده بازگردانده خواهند شد، هرچند این نقض سیستمهای فلـامینگو را شامل نمیشد اما هنوز اعتماد کاربران را تحت تاثیر قرار داد.
نکته قابل توجه، این اولین حمله به شبکه پلی نیست؛ یک سوء استفاده بزرگ در ژوئن ۲۰۲۳ نیز گزارش شد که شبکه پلی حداقل ۶۰۰.۳ میلیون دلار از داراییهایش را از دست داد.
این حمله آخرین در این ماه نیست. شبکه Ronin نیز تجربه یک نقض امنیتی مشابه داشت که منجر به از دست دادن ۳۹۹۶ توکن اتر با ارزشی حدود ۹.۸ میلیون دلار شد.
احتمالات حاکی از آن است که این نقض ممکن است توسط یک هکر کلاهسفید انجام شده باشد که معمولاً داراییهای دزدیده شده را پس از آشکارسازی ضعفهای امنیتی بازمیگرداند؛ با این حال، داراییها هنوز بازگردانده نشدهاند و نیتهای هکر هنوز نامشخص است.