روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  از 26 تا 27 آگست 2025، پروتکل مالی غیرمتمرکز BetterBank که روی شبکه پالسی‌چین[1] فعالیت می‌کند، قربانی حمله‌ای پیچیده شد. در واقع سیستم انگیزشی BetterBank برای این طراحی شده بود که کاربران را تشویق کند نقدینگی تأمین کنند و در اکوسیستم فعال بمانند اما همه چیز پیچیده شد. این حمله با دستکاری نقدینگی و سوءاستفاده از سیستم پاداش‌دهی انجام شد و در ابتدا حدود ۵ میلیون دلار دارایی‌ دیجیتال از دست رفت. پس از مذاکرات روی زنجیره، فرد مهاجم حدود ۲.۷ میلیون دلار را بازگرداند تا زیان نهایی به حدود ۱.۴ میلیون دلار کاهش یابد. ریشه این آسیب‌پذیری در خطای طراحی سیستم پاداش‌دهی و تابعی بود که بدون بررسی منبع تراکنش، توکن‌های پاداش را ایجاد می‌کرد. این ضعف به مهاجم اجازه داد با ساخت یک استخر نقدینگی جعلی و ایجاد تراکنش‌های صوری، پاداش بی‌نهایت تولید کرده و نقدینگی واقعی سیستم را تخلیه کند.

جالب اینجاست که پیش از رخداد، شرکت Zokyo این ضعف را در گزارش امنیتی شناسایی کرده بود اما به‌دلیل سوءتفاهم و ارزیابی اشتباه از میزان خطر، این مشکل رفع نشد. این رخداد نمونه‌ای مهم از اهمیت اجرای توصیه‌های امنیتی و بررسی دقیق طراحی پروتکل‌ها در حوزه بلاکچین است.

مرور رخداد و خط زمانی

جولای 2025، BetterBank  تحت یک ممیزی امنیتی قرار گرفت و آسیب‌پذیری بخش پاداش‌دهی آن گزارش شد. اما به‌دلیل ارزیابی اشتباه، خطر این مشکل کم‌اهمیت تلقی شد. کمی بعد حمله آغاز شد. تیم پروژه برای جلوگیری از سرایت حمله، نقدینگی باقی‌مانده را خارج و پیشنهاد بازگرداندن بخشی از دارایی در ازای پاداش ۲۰ درصدی را منتشر کرد. مهاجم بخش قابل‌توجهی از دارایی‌ها را بازگرداند که اتفاقی کم‌سابقه در حملات مالی غیرمتمرکز است.

اثرات مالی

در مجموع حدود ۵ میلیون دلار دارایی تخلیه شد که بخش زیادی از آن شامل توکن‌های دای، پی‌ال‌اس‌اکس و دبلیو‌پی‌ال‌اس بود. با بازگرداندن ۲.۷ میلیون دلار، زیان نهایی پروژه حدود ۱.۴ میلیون دلار باقی ماند. این ارقام با وجود نوسان‌های قیمتی، در منابع مختلف تقریباً ثابت گزارش شده‌اند.

شرح پروتکل و آسیب‌پذیری

BetterBank  یک پلت‌فرم وام‌دهی با دو توکن اصلی است. کاربران با کمک به نقدینگی، توکن پاداش دریافت می‌کنند. اما سیستم پاداش‌دهی طوری طراحی شده بود که صرفاً خروجی تراکنش را بررسی نموده و منبع نقدینگی را تأیید نمی‌کرد. همین موضوع راه را برای سوءاستفاده باز گذاشت. ترکیب این ضعف منطقی با امکان تبدیل آزادانه توکن‌های پاداش به توکن اصلی، شرایطی فراهم کرد که در آن مهاجم می‌توانست با یک چرخه نامحدود، توکن تازه تولید کند و نقدینگی واقعی را خارج نماید.

نحوه‌ی اجرای حمله

مهاجم با استفاده از وام لحظه‌ای، ابتدا استخر نقدینگی واقعی را تخلیه کرد. سپس یک توکن جعلی ساخت و آن را با توکن اصلی پروتکل در یک استخر مصنوعی جفت کرد. از آنجایی که این استخر در فهرست رسمی نبود، سیستم مالیات فروش را اعمال نمی‌کرد و مهاجم بدون هزینه گزاف، چرخه تولید پاداش را هزاران بار تکرار کرد. با این روش، پاداش‌های بی‌پشتوانه تولید و ذخایر واقعی توکن‌ها خارج گردید.

بررسی‌های فنی و ردگیری تراکنش‌ها

مهاجم پس از برداشت توکن‌ها، آن‌ها را به دارایی‌های قابل‌انتقال‌تر تبدیل کرد و بخشی را به شبکه اصلی اتریوم منتقل نمود. سپس برای پنهان‌سازی رد تراکنش‌ها از ابزارهای مختل‌کننده ردگیری استفاده کرد. تیم تحقیق با تحلیل کد قراردادهای کمکی و مسیرهای تراکنش، جزئیات عملیات را شناسایی کرد، از جمله استفاده از الگوی فکتوری، وام‌های لحظه‌ای و قراردادهای پویا برای اجرای سریع حمله.

نتیجه‌گیری

این رخداد نشان می‌دهد که:

•         یک خطای طراحی در سیستم پاداش‌دهی می‌تواند فاجعه‌آفرین باشد.
•         یافته‌های امنیتی باید جدی گرفته شوند و صرف برچسب «کم‌خطر»، دلیل نادیده‌گرفتن نیست.
•         دفاع چندلایه در پروتکل‌های مالی اهمیت حیاتی دارد.
•         ارتباط شفاف بین تیم فنی و حسابرسان امنیتی ضروری است.
•         بازگشت بخشی از دارایی‌ها نتیجه مثبتی بود، اما پیام اصلی روشن است: در دنیای مالی غیرمتمرکز، بی‌توجهی به امنیت، بهای سنگینی دارد.

[1] PulseChain

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.