أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
ثغرة أمنية تسمح بالمكالمات العشوائية تُعزى إليها عمليات اختراق بقيمة 17 مليون دولار لشركتي SwapNet وAperture Finance
- سمحت ثغرة أمنية مشتركة تسمح بإجراء مكالمات عشوائية للمهاجمين بسحب أكثر من 17 مليون دولار من SwapNet و Aperture Finance عن طريق إساءة استخدام الموافقات الحالية على الرموز المميزة.
- خسرت SwapNet أكثر من 13.4 مليون دولار بعد أن استغل المهاجمون وظيفة غير موثقة لتنفيذ مكالمات خبيثة منخفضة المستوى عبر أربع سلاسل كتل.
- تكبدت شركة Aperture Finance خسائر بقيمة 3.67 مليون دولار بسبب خلل مماثل مكّن المهاجمين من سحب رموز ERC-20 والموافقة على رموز Uniswap V3 NFTs.
أصدرت شركة BlockSec المتخصصة في أمن تقنية البلوك تشين تحليلاً فنياً للهجمات التي استهدفت بروتوكولين للتمويل اللامركزي، مما أدى إلى خسائر تزيد عن 17 مليون دولار.
تكبدت SwapNet، وهي منصة تجميع DEX، خسائر تزيد عن 13.4 مليون دولار عبر Ethereumو Arbitrum و Base و Binance Smart Chain، بينما خسرت Aperture Finance، التي تدير مراكز السيولة المركزة، ما يقدر بنحو 3.67 مليون دولار فيdentمتزامن ولكنه غير مرتبط.
الضحاياtracعن قدرة على إجراء مكالمات عشوائية بسبب عدم كفاية التحقق من صحة المدخلات، مما يسمح للمهاجمين بإساءة استخدام الموافقات على الرموز المميزة الحالية واستدعاء transferFrom لاستنزاف الأصول"، هذا BlockSec في ملخص تحليلها حول X.
صرحت شركة الأمن قائلة : "تُعد هذهdentبمثابة تذكير بضرورةtracالموازنة بعناية بين المرونة في تصميم العقود والقيود الصارمة على المكالمات، لا سيما في الأنظمة ذات المصادر المغلقة حيث تكون المراجعة الخارجية محدودة"
ما الذي كان وراء ثغرة SwapNet الأمنية؟
في حالة SwapNet، جاءت الثغرة الأمنية من الدالة 0x87395540()، والتي كانت تفتقر إلى التحقق المناسب من المدخلات الحرجة.
من خلال استبدال عناوين جهاز التوجيه أو المجمع المتوقعة بعناوين الرموز المميزة مثل USDC، قام المهاجمون بخداعtracالضحية ليتعامل مع الرموز المميزة كأهداف تنفيذ صالحة.
وقد أدى ذلك إلى تنفيذ مكالمات منخفضة المستوى باستخدام بيانات المكالمات التي يتحكم بها المهاجم، مما مكنtracالضحية من إجراء مكالمات سمحت للمهاجم بسحب جميع الأصول المعتمدة.
أثرت الثغرة الأمنية على مستخدمي Matcha Meta، وهو DeFi ، الذين قاموا بتعطيل إعداد "الموافقة لمرة واحدة" الخاص بالمنصة ومنحوا موافقة غير محدودة مباشرة لعقودtrac.
كانت أكبر خسارة فردية من نصيب مستخدم واحد خسر حوالي 13.34 مليون دولار. في المجمل، تأثر 20 مستخدمًا. بدأ الهجوم على منصة Base عند الكتلة رقم 41289829، مما دفع SwapNet إلى إيقاف العقودtracBase مؤقتًا بعد 45 دقيقة من اكتشاف الثغرة. كما أوقفت العقودtracسلاسل أخرى بعد ذلك بوقت قصير؛ ومع ذلك، خلال تلك الفترة، تأثر 13 مستخدمًا إضافيًا عبر ثلاث سلاسل.
تعرضت شركة Aperture Finance لضعف مماثل
وقعت شركة Aperture Finance، التي تدير مراكز السيولة في Uniswap V3 نيابة عن المستخدمين، ضحية لنفس فئة الثغرات الأمنية في وظيفتها 0x67b34120().
عند استدعاء هذه الوظيفة، تقوم وظيفة داخلية 0x1d33() بتنفيذ استدعاءات منخفضة المستوى باستخدام بيانات الاستدعاء التي يقدمها المستخدمون دون فرض قيود صارمة على هدف الاستدعاء أو محدد الوظيفة.
وقد مكّن هذا المهاجمين من إنشاء بيانات استدعاء خبيثة قامت بسحب رموز ERC-20 والموافقة على رموز NFT الخاصة بموقع Uniswap V3.
المستخدمون الذين حصلوا على الموافقات اللازمة لميزات "إدارة السيولة الفورية" هم الأكثر عرضة للخطر من هذا الهجوم.
في إحدى الهجمات النموذجية على Ethereum، أنشأ المهاجم عقدًا استدعىtracالمعرضة للاختراق باستخدام 100 وي فقط من عملة إيثيريوم. بعد تحويل الرموز الأصلية إلى وي، تم تنفيذ الاستدعاء الخبيث للدالة WBTC.transferFrom()، مما سمح للمهاجم بسحب الرموز المعتمدة مع تجاوز فحص الرصيد عن طريق تحديد قيمة ناتج التبادل الخاصة به.
ما هي التغييرات التي تُجريها المنصات المتأثرة؟
دفعت هذهdentكلا البروتوكولين إلى إعادة تقييم نهجهما الأمني. أولاً، طلب كلا البروتوكولين من مستخدميهما إلغاء الموافقات باستخدام أدوات مثلcash.
أعلنت شركة ماتشا ميتا أنها عطّلت خيار إيقاف خاصية الموافقة لمرة واحدة. كما أزالت منصة سواب نت من منصتها حتى إشعار آخر، مؤكدةً أن "تفضيل التخصيص على حساب الأمان ليس موقفاً سنسمح به مستقبلاً"
أعلنت شركة Aperture Finance أنها عطّلت جميع وظائف تطبيق الويب المتأثرة. وفيما يتعلق بجهودها لاستعادة الأموال، صرّحت قائلةً: "نعمل عن كثب مع شركات الأمن السيبراني الرائدة، ونتعاون مع جهات إنفاذ القانون لتتبّع trac"، مضيفةً أنها تعمل أيضاً على إنشاء قنوات للتفاوض بشأن استرداد الأموال.
أذكى العقول في عالم العملات الرقمية يتابعون نشرتنا الإخبارية بالفعل. هل ترغب بالانضمام إليهم؟ انضم إليهم.
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtronبإجراء بحث مستقلdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.
هانا كوليمور
هانا كاتبة ومحررة تتمتع بخبرة تقارب عشر سنوات في كتابة المدونات وتغطية الأحداث في مجال العملات الرقمية. في Cryptopolitan، تُساهم هانا في صفحة الأخبار، حيث تُغطي وتُحلل آخر التطورات في DeFi، والأصول المُدارة بالمخاطر (RWA)، وتنظيم العملات الرقمية، والذكاء الاصطناعي، وقطاعات التكنولوجيا الرائدة. تخرجت هانا من جامعة أركاديا بشهادة في إدارة الأعمال.
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)