האקר של Voltage Finance מעביר 182 אלף דולר בנכסי ETH לטורנדו קאש

# האקר של Voltage Finance מעביר 182 אלף דולר בנכסי ETH לטורנדו קאש האקר שעמד מאחורי פריצה של 4.67 מיליון דולר לפרוטוקול ההלוואות המבוזר Voltage Finance בשנת 2022 העביר חלק מהאתר שנגנב לשירות הערבול טורנדו קאש לאחר תקופת דממה ממושכת. ## פרטי ההעברה החשודה חברת אבטחת הבלוקצ'יין CertiK דיווחה ב-6 במאי בפוסט ברשת X (לשעבר טוויטר) כי 100 אתר (ETH), בשווי של כ-182,783 דולר במחירים הנוכחיים, הועברו מכתובת שונה מזו ששימשה במקור בניצול, אך ניתן לעקוב אחריה בחזרה להאקר. לפי CertiK, הכתובת שההאקר השתמש בה להעברת הכספים לטורנדו קאש הייתה רדומה מאז נובמבר האחרון, כאשר העסקה האחרונה התרחשה לפני 166 ימים, כפי שמעידים נתוני Etherscan. ## הפריצה המקורית מ-2022 במרץ 2022, התוקף ניצל "פונקציית callback מובנית" בתקן האסימון ERC677 ואפשר לו לרוקן את מאגר ההלוואות של הפלטפורמה באמצעות התקפת reentry, כפי שדווח על ידי CertiK. לאחר הפריצה, Voltage Finance דיווחה כי ההאקר גנב מטבעות יציבים שונים ומטבעות קריפטו אחרים, כולל USDC, Binance USD (BUSD), wrapped Bitcoin (WBTC) ואסימוני אתריום. בניתוח לאחר מעשה של הפריצה מ-2022, Voltage Finance ציינה כי כתובת התוקף סומנה ב-Etherscan, ונעשו פניות לבורסות לחסום עסקאות הקשורות לכתובת זו. כמו כן, נעשו ניסיונות ליצור קשר עם התוקף ולנהל משא ומתן על תגמול להחזרת הכספים. ## פריצה נוספת במרץ 2024 Voltage Finance נפגעה שוב מפריצה נוספת ב-18 במרץ 2024, כאשר מאגרי הסטייקינג הפשוטים שלה נפרצו, כפי שהפרוטוקול הודיע בהצהרה שפורסמה ברשת X. בסך הכל נגנבו 322,000 דולר. בדיווח שלאחר האירוע מה-20 במרץ, Voltage Finance אמרה כי הציעה לתוקף תגמול של 50,000 דולר להחזרת הכספים וכי ייתכן שזיהתה מפתח שעבד על מאגרי הסטייקינג הפשוטים, שעשוי להיות מעורב. "בזמן שלא אישרנו אם הוא ההאקר, כאמצעי זהירות, ביטלנו את הגישה שלו באופן מיידי והגשנו דיווחים למשטרה כדי לשתף פעולה עם רשויות אכיפת החוק ובורסות מרכזיות", נכתב בהודעה. ## עלייה בהיקף הפריצות באפריל באופן כללי, הפסדי הקריפטו זינקו ב-1,163% באפריל, כאשר החלק הארי הגיע מגניבה בודדת של ארנק השייך לאדם מבוגר מארה"ב, לאחר שהאקר השתמש בטקטיקות הנדסה חברתית מתקדמות כדי לגנוב 3,520 ביטקוין (BTC), בשווי 330.7 מיליון דולר. ללא התקפה זו, הפסדי הקריפטו באפריל היו 34 מיליון דולר, עלייה של 21% לעומת מרץ. עם זאת, החודש ראה גם החזרה של יותר מ-18 מיליון דולר כאשר ההאקר שמאחורי ניצול של 7.5 מיליון דולר בבורסה המבוזרת KiloEx החזיר את כל הכספים הגנובים רק ארבעה ימים לאחר ההתקפה. ארגון ZKsync גם הצליח לשחזר אסימונים בשווי 5 מיליון דולר שנגנבו מתקרית אבטחה ב-15 באפריל הקשורה לחוזה חלוקת האירדרופ שלהם. ## המלצות אבטחה למשקיעי קריפטו לאור המקרים האחרונים של פריצות וניצול חולשות אבטחה בפרוטוקולי DeFi, מומלץ למשקיעים לנקוט במשנה זהירות ולאמץ את האמצעים הבאים להגנה על נכסיהם הדיגיטליים: 1. **השתמשו בארנקים חומרה (Hardware Wallets)** - לאחסון ארוך טווח של נכסי קריפטו משמעותיים. 2. **בדקו היטב פרוטוקולים** - חפשו ביקורות קוד (Code Audits) מחברות אבטחה מוכרות. 3. **פזרו השקעות** - אל תחזיקו את כל הנכסים הדיגיטליים שלכם בפרוטוקול או פלטפורמה אחת. 4. **עקבו אחר עדכוני אבטחה** - הישארו מעודכנים לגבי פריצות אבטחה ועדכוני תוכנה בפרוטוקולים בהם אתם משתמשים. 5. **הפעילו אימות דו-שלבי (2FA)** - בכל שירות קריפטו בו אתם משתמשים. האירועים האחרונים מדגישים שוב את הסיכונים הטמונים בעולם ה-DeFi ואת החשיבות של אבטחה מוגברת במערכות פיננסיות מבוזרות.