بلاکچین سولانا را به خاطر سرعت کمنظیر و نرخهای پایین آن میشناسیم ولی آیا در مورد هک سولانا چیزی شنیدهاید؟ سولانا طی سالهای اخیر توانسته نام خود را به عنوان یک پلتفرم سطح بالای قرارداد هوشمند بر سر زبانها بیندازد و گوی رقابت را در بسیاری از زمینهها از رقیب سرسخت خود یعنی اتریوم برباید.
با این حال، این رشد کمنظیر بدون دردسر هم به دست نیامده و برخی آسیبپذیریها که دلایل آنها هم متعدد است، باعث شده تا شاهد هک سولانا باشیم و طی این هکها، ضررهای میلیون دلاری به افراد مختلف وارد شده است. در ادامه این هکها و منشا آنها را به شما معرفی میکنیم و معتقدیم که حاوی درسهای خوبی در زمینه امنیت، آگاهی و تجربه است.
هک سولانا پل ورمهول (Wormhole)
هک پل ورمهول (یا همان کرم چاله) در ماه فوریه سال ۲۰۲۲ اتفاق افتاد. این هک که روی پل ورمهول (Wormhole)، پروتکلی که امکان جابجایی توکن بین سولانا و اتریوم را میسر میسازد رخ داد، جزو فجایعی بود که برای سولانا رخ داده و باعث ضرر صدها میلیون دلاری شد.
هکرها توانستند از یک آسیبپذیری روی قراردادهای هوشمند این پروتکل سواستفاده کنند و ۱۲۰ هزار اتریوم را بدون آنکه در آن سمت پل سولانایی وارد شود به جیب بزنند. این باعث شد که ذخایر بدون پشتوانه wETH زیاد شود که باعث آسیب به قیمت سولانا آن شد. ارزش ارزهای دزدیده شده در آن زمان چیزی نزدیک به ۳۲۵ میلیون دلار برآورد شد.
در این زمان جامپ کریپتو، یکی از پشتیبانان پل ورمهول (Wormhole)، وارد عمل شد و با تزریق اتریوم تلاش کرد که اوضاع از این بدتر نشود و اوضاع کمی کنترل شود. درواقع تیم توسعهدهنده ورمهول مجبور شد مبلغ از دست رفته را از جیب خود تأمین کند تا اعتماد کاربران را دوباره جلب کند.
این هک سولانا نشاندهنده ضعفهای زیرساختی در پلهای بین پلتفرمی بود و باعث شد تا خطراتی که این مسئله میتواند ایجاد کند، جدیتر گرفته شود.
هک سولانا پروتکل سیبر
سیبر (Saber) در واقع یک صرافی غیرمتمرکز و یک تامینکننده نقدینگی استیبل کوین روی سولانا است. در سال ۲۰۲۱، به دنبال کدنویسی ضعیف، آسیبپذیریهایی در قراردادهای هوشمند و استخرهای نقدینگی سیبر رخ داد. مهاجمی با استفاده از یک آسیبپذیری در قرارداد هوشمند سیبر توانست قیمتها را موقتاً دستکاری کند.
او از این طریق توانست مبالغ قابلتوجهی از ارزهای موجود در استخر نقدینگی (Liquidity Pool) را خارج کند. گرچه مبلغ این هک سولانا (حدود ۱ میلیون دلار) به اندازه سایر هکها بزرگ نبود، اما باعث شد اعتماد کاربران به این پروژه بهشدت آسیب ببیند. تیم سیبر پس از این حمله، سریعاً مشکل را حل کرد و وعده داد امنیت خود را تقویت کند.
هک سولانا کشیو (Cashio)
یکی دیگر از ماجراهای عجیب و غریب هک سولانا مربوط به کشیو (Cashio) است. کشیو یک پروتکل استیبل کوین روی سولانا بود که با ضرب کردن توکنهای $CASH کار میکرد. هدف این توکن حفظ ارزش ثابت (هر توکن معادل یک دلار آمریکا) بود اما در مارس ۲۰۲۲، هکری توانست بهخاطر نقصی در قرارداد هوشمندِ کشیو، مقدار بسیار زیادی از این ارز را بهشکل تقلبی تولید کند، بدون آنکه پشتوانه دلاری داشته باشد.
به این ترتیب، میتوان گفت که انگار پول تقلبی $CASH چاپ میشد و این باعث شد که استخرهای نقدینگی که در آنها $CASH معامله میشد به کلی خالی شوند.
تیم کشیو ضمن قبول تقصیر، اعلام کرد که کاربران از ضرب کردن توکنهای جدید پرهیز کنند. جالب است بدانید هکرهای عجیب و غریب این ماجرا در یک یادداشت اعلام کردند که حاضرند پول کلاهبرداری شده را به «کاربران واقعی» بازگردانند.
با این حال، این وعده هم توخالی از آب درآمد و فقط بخش خیلی اندکی از این پول جبران شد. باز هم این ماجرا نشان داد که خطرات زیادی در کمین پروتکلهای مربوط به سولانا است. به صورت کلی، این هک ضرری ۵۲ میلیون دلاری برجا گذاشت. این اتفاق باعث شد که ارزش این استیبلکوین به صفر برسد و عملاً پروژه از بین برود.
هک سولانا ریدیوم (Raydium)
ریدیوم (Raydium) یکی از بزرگترین صرافیهای غیرمتمرکز روی شبکه سولانا است. در دسامبر ۲۰۲۲، یک هکر موفق شد به حساب مدیریتی یکی از قراردادهای هوشمند ریدیوم دسترسی پیدا کند. این دسترسی به او اجازه داد تا مستقیماً وجوه کاربران را به حساب خودش منتقل کند.
هکر در مدت کوتاهی حدود ۲ میلیون دلار از داراییهای کاربران را به سرقت برد. علت اصلی این اتفاق، سهلانگاری در نگهداری از کلیدهای خصوصی و ضعف در سیستم امنیتی مدیریت پلتفرم بود. ریدیوم پس از این حادثه تلاش کرد با جبران خسارت و افزایش امنیت، دوباره اعتماد کاربران را به دست آورد.
هک سولانا مانگو مارکتس (Mango Markets)
«مانگو مارکتس» یک صرافی غیرمتمرکز محبوب روی سولانا بود که کاربران در آن معاملات اهرمی و فیوچرز انجام میدادند. در اکتبر ۲۰۲۲، یک هکر بسیار هوشمند از روشی جالب برای دستکاری قیمتها استفاده کرد.
ابتدا، هکر مقدار زیادی از توکن بومی مانگو (MNGO) را قرض گرفت و با انجام معاملات مصنوعی، قیمت آن را بهشکل موقت و غیرواقعی به شدت افزایش داد. سپس از این قیمت جعلی و بالا استفاده کرد تا وامهای بزرگی را از پروتکل برداشت کند. این ترفند ساده باعث شد هکر بتواند در مجموع بیش از ۱۱۰ میلیون دلار ارز دیجیتال از مانگو مارکتس خارج کند.
بعد از این حادثه، هکر حتی به تیم مانگو مارکتس پیشنهاد داد که بخشی از پول را بازگرداند، به شرطی که او را تحت تعقیب قانونی قرار ندهند. این ماجرا به یکی از عجیبترین هکهای تاریخ رمزارزها تبدیل شد. این پیشنهاد مورد قبول مانگو هم قرار گرفت.
با این حال، بعدها او در خاک آمریکا به خاطر فعالیتهای مجرمانه و کلاهبرداری دستگیر شد. این پرونده مرزهای میان هک و پروندههای مجرمانه و کلاهبرداری را شکست و جزو ماجراهای عجیب در حوزه هک سولانا بود.
جمعبندی
شبکه سولانا در سالهای اخیر یکی از جذابترین پلتفرمها برای پروژههای دیفای و بلاکچینی بوده، اما این هکها نشان داد که حتی پروژههای بزرگ و شناختهشده هم کاملاً امن نیستند. اکثر این حملات به دلایل زیر رخ دادهاند:
-
اشتباهات برنامهنویسی (باگهای قرارداد هوشمند)
-
سهلانگاری در نگهداری از کلیدهای خصوصی
-
ضعف در مدیریت امنیت پروژهها
-
طراحی اقتصادی نادرست در پروتکلها (مثل هک مانگو مارکتس)
با وجود این اتفاقات، سولانا همچنان به رشد خود ادامه داده و بسیاری از پروژهها اقدامات امنیتی خود را تقویت کردهاند. اما مهمترین درس برای کاربران و توسعهدهندگان این است که:
همیشه با دقت زیاد پروژهها را بررسی کنید، به امنیت آنها توجه ویژه داشته باشید و هرگز تمام داراییهای خود را در یک پلتفرم نگه ندارید.
امنیت در دنیای بلاکچین حرف اول را میزند و درس گرفتن از این حوادث برای جلوگیری از اتفاقات مشابه در آینده بسیار ضروری است. با سرمایهگذاری در صرافیهای امنی چون کبرین همواره از امنیت سرمایهتان اطمینان حاصل کنید.
