پست هک 18.4 میلیون دلاری Rhea Finance که طی دو روز ساخته شد، در گزارش پس از حادثه فاش شد در BitcoinEthereumNews.com ظاهر شد. مهاجم بیش از دو روز صرف ایجاد 423 کیف پول کردپست هک 18.4 میلیون دلاری Rhea Finance که طی دو روز ساخته شد، در گزارش پس از حادثه فاش شد در BitcoinEthereumNews.com ظاهر شد. مهاجم بیش از دو روز صرف ایجاد 423 کیف پول کرد

هک 18.4 میلیون دلاری Rhea Finance طی دو روز ساخته شد، گزارش پس از حادثه فاش می‌کند

2026/04/18 19:50
مدت مطالعه: 4 دقیقه
برای ارائه بازخورد یا طرح هرگونه نگرانی درباره این محتوا، لطفاً با ما از طریق crypto.news@mexc.com تماس بگیرید.
  • مهاجم بیش از دو روز را صرف ایجاد 423 کیف پول و استخرهای توکن جعلی قبل از سوءاستفاده کرد.
  • نقص محافظت از لغزش، ارزش یکسان توکن را دو بار در مراحل متوالی مبادله محاسبه کرد.
  • تتر 3.29 میلیون دلار USDT را مستقیماً در کیف پول مهاجم مسدود کرد زمانی که تلاش‌های بازیابی آغاز شد.

Rhea Finance این هفته گزارش تفصیلی پس از رویداد را منتشر کرد پس از از دست دادن 18.4 میلیون دلار در یک سوءاستفاده که محققان آن را ترکیبی از دو بردار حمله شناخته شده دیفای توصیف می‌کنند که در چیزی جدید مونتاژ شده است. آنها فاش کردند که حمله در عرض چند دقیقه اتفاق نیفتاد. دو روز آماده‌سازی طول کشید.

راه‌اندازی

بین 13 تا 15 آوریل، مهاجم بی‌سر و صدا زیرساخت مورد نیاز برای تخلیه را ساخت:

  • یک کیف پول موضوعی ایجاد کرد که از طریق انتقالات بین زنجیره‌ای تأمین مالی شد
  • وجوه را در 423 کیف پول واسطه منحصر به فرد به صورت خودکار سریع توزیع کرد
  • قراردادهای توکن جعلی ساخته شده برای هدف خاص را مستقر کرد که هیچ ابرداده استانداردی را نمایش نمی‌دادند
  • هشت استخر معاملاتی جدید در Ref Finance ایجاد کرد که توکن‌های جعلی را در برابر USDC، USDT و wNEAR با نسبت‌های قیمت کنترل شده مصنوعی جفت کرد
  • یک مسیریاب مبادله ساخت که این استخرهای جعلی را به عنوان بردار حمله متصل می‌کرد

تا زمانی که سوءاستفاده در 16 آوریل راه‌اندازی شد، کل زیرساخت در جای خود بود و منتظر بود.

چگونه ترفند لغزش واقعاً کار کرد

ظرافت فنی حمله چیزی است که آن را قابل توجه می‌کند. ویژگی معاملات مارجین Rhea Finance شامل حفاظت از لغزش است که خروجی‌های مورد انتظار را در تمام مراحل مبادله جمع می‌کند تا تأیید کند کاربران ارزش منصفانه دریافت می‌کنند. مهاجم نقصی را در نحوه عملکرد این محاسبه در مراحل متوالی پیدا کرد.

سوءاستفاده به زبان ساده:

  • مرحله 1: 1,000 USDC به 999 AttackerToken با حداقل خروجی 999 تبدیل می‌شود
  • مرحله 2: 999 AttackerToken به 1 USDC با حداقل خروجی 1 برمی‌گردد
  • بررسی لغزش می‌بیند: 999 به علاوه 1 برابر 1,000. خوب به نظر می‌رسد.
  • واقعیت: تنها 1 USDC به پروتکل بازگردانده شد. 999 USDC در استخر مهاجم قرار دارد.

بررسی AttackerToken را به عنوان خروجی نهایی محاسبه کرد بدون اینکه تشخیص دهد که فوراً به عنوان ورودی برای مرحله بعدی خرج شد. وجوه قرض گرفته شده به استخرهای جعلی مهاجم هدایت شدند. موقعیت‌ها فوراً بسیار کمتر از بدهی‌شان ارزش داشتند و لیکویید شدن اجباری را راه‌اندازی کردند که استخر ذخیره را تخلیه کرد.

نزدیک‌ترین سابقه، سوءاستفاده KyberSwap در سال 2023 است که 54.7 میلیون دلار با استفاده از همان اصل محاسبه دو بار ارزش یکسان در عملیات متوالی هزینه داشت.

وضعیت موجود

تقریباً 9 میلیون دلار از 18.4 میلیون دلار قبلاً بازیابی یا مسدود شده است، از جمله 3.29 میلیون دلار USDT که توسط تتر مستقیماً در کیف پول مهاجم مسدود شده است. قرارداد وام در حالی که تلاش‌های بازیابی ادامه دارد، متوقف شده است.

تیم Near Intents پیشنهاد کرده است که مهاجم شناسایی شده و حتی ممکن است حضور عمومی در X داشته باشد. یک ردیابی رسمی با صرافی‌های متمرکز برای شناسایی صاحب حساب باز شده است.

گزارش پس از رویداد Rhea Finance شامل کرونولوژی کامل حمله، هش‌های تراکنش و خط دقیق کد آسیب‌پذیر است. به عنوان یکی از تفصیلی‌ترین افشاگری‌های سوءاستفاده در تاریخ دیفای توصیف می‌شود.

مرتبط: Rhea Finance پس از حمله استخر توکن جعلی با سوءاستفاده 7.6 میلیون دلاری مواجه شد

سلب مسئولیت: اطلاعات ارائه شده در این مقاله فقط برای اهداف اطلاعاتی و آموزشی است. این مقاله مشاوره مالی یا مشاوره از هر نوعی را تشکیل نمی‌دهد. Coin Edition مسئولیتی در قبال هرگونه زیان ناشی از استفاده از محتوا، محصولات یا خدمات ذکر شده ندارد. به خوانندگان توصیه می‌شود قبل از انجام هر اقدامی مرتبط با شرکت احتیاط کنند.

منبع: https://coinedition.com/18-4m-rhea-finance-hack-built-over-two-days-post-mortem-reveals/

فرصت‌ های بازار
لوگو USDCoin
USDCoin قیمت لحظه ای(USDC)
$0.9995
$0.9995$0.9995
0.00%
USD
نمودار قیمت لحظه ای USDCoin (USDC)
سلب مسئولیت: مطالب بازنشرشده در این وب‌ سایت از منابع عمومی گردآوری شده‌ اند و صرفاً به‌ منظور اطلاع‌ رسانی ارائه می‌ شوند. این مطالب لزوماً بازتاب‌ دهنده دیدگاه‌ ها یا مواضع MEXC نیستند. کلیه حقوق مادی و معنوی آثار متعلق به نویسندگان اصلی است. در صورت مشاهده هرگونه محتوای ناقض حقوق اشخاص ثالث، لطفاً از طریق آدرس ایمیل crypto.news@mexc.com با ما تماس بگیرید تا مورد بررسی و حذف قرار گیرد.MEXC هیچ‌ گونه تضمینی نسبت به دقت، جامعیت یا به‌ روزبودن اطلاعات ارائه‌ شده ندارد و مسئولیتی در قبال هرگونه اقدام یا تصمیم‌ گیری مبتنی بر این اطلاعات نمی‌ پذیرد. همچنین، محتوای منتشرشده نباید به‌عنوان توصیه مالی، حقوقی یا حرفه‌ ای تلقی شود و به منزله پیشنهاد یا تأیید رسمی از سوی MEXC نیست.

رویداد USD1: کارمزد 0 + %12 APR

رویداد USD1: کارمزد 0 + %12 APRرویداد USD1: کارمزد 0 + %12 APR

کاربران جدید: استیک و دریافت تا %600 APR. محدود!