يستخدم مخترقtracغير موثق لسحب 1.4 مليون دولار من مجمعات رموز CUT

بحسب شركة CertiK، استغلّ حسابٌ مُهاجمٌ ثغرةً أمنيةً لتحويل ما قيمته 1.4 مليون دولار أمريكي من عملة BSC-USD دون حرق رموز LP المُكافئة. وكشفت منصة تحليلات البلوك تشين والأمن أن عملة BSC-USD سُحبت في 10 سبتمبر من مجمع سيولة يحتوي على رموز CUT.

زعمت شركة CertiK أنtracرمز CUT اعتمد علىtracمنفصل غير موثق لتحديد "معامل العائد المستقبلي"، مما سمحtracعملة BSC-USD بطرق غامضة في أربع معاملات منفصلة. ووفقًا لـ CertiK، فإن رمز CUT المُستغل يختلف عن رمز مشروع Crypto Unit الذي يحمل نفس رمز التداول، ولكنه موجود على عنوان مختلف ينتهي بـ "36a7" على سلسلة Binance الذكية. وكان الزوج المتأثر هو "0x83681F67069A154815a0c6C2C97e2dAca6eD3249"، بحسب نتائج CertiK.  

استغلال ثغرة أمنية في رموز CUT يؤدي إلى خسائر تتجاوز 1.4 مليون دولار

#CertiKInsight 🚨

لقد رصدنا ثغرة أمنية في نظام القروض السريعة تتعلق برمز CUT

BSC: 0x7057F3b0F4D0649B428F0D8378A8a0E7D21d36a7

_lpFutureYieldContractAddresstractractractractractractractractractractractractractractractractrac0x0917914b0A70ee7F1f2460Fcd487696856E31154، وهو عنوان غير موثق ويحتوي على... pic.twitter.com/ycE4Px3Nxy

— تنبيهات سيرتيك (@CertiKAlert) ١٠ سبتمبر ٢٠٢٤

كشفت منصة CertiK عن ثغرة أمنية في نظام الإقراض السريع، حيث استغلتtracعلى رمز CUT باستخدام عنوان "trac(trac)" على العنوان 0x0917914b0A70ee7F1f2460Fcd487696856E31154، وهو عنوان غير موثق ويحتوي على وظائف خفية. وأكدت منصة أمن العملات الرقمية أن المهاجم تلاعب برمز CUT باستخدام FutureYield للحصول على ما يقارب 1.4 مليون دولار أمريكي من زوجcake BUSD-CUT. وأكدت CertiK أن الأموال موجودة حاليًا على العنوان "0x5766d1F03378f50c7c981c014Ed5e5A8124f38A4"

كشفت شركة سيرتيك أن المبلغ المسحوب من مجمع السيولة كان جزءًا منcakecakecakecakecakecakecakecakecakeتتأثر أي مجمعات وأظهرت تشين أن المهاجم نفّذ أربع معاملات منفصلة لسحب مبلغ 1,448,974 دولارًا أمريكيًا من مجمع سيولة BSC-USD. وأكدت سيرتيك أنها تلقت تنبيهًا بشأن المعاملة غير المشروعة، نظرًا لأن المهاجم لم يودع أي مبالغ في المجمع ولم يمتلك أي رموز لمزودي السيولة. 

بحسب تقرير CertiK، استدعى المهاجم الدالة "0x7a50b2b8" غير الموجودة فيtracالرمز المميز. وكشف التقرير أن المهاجم استدعى على الأرجح الدالة "trac()"، مما سمح باستدعاء دالة أخرى علىtracمنفصل تمامًا وغير موثق بعنوان ينتهي بـ "1154"، والذي لا يُظهر سوى رمز بايت غير قابل للقراءة. في هذه الحالة، خسر مزودو سيولة CUT مجتمعين 1.4 مليون دولار أمريكي نتيجةً لهذا الاستغلال.

تزايد عمليات استغلال العملات المشفرة في عام 2024 مع خسائر تجاوزت 310 ملايين دولار في شهر أغسطس

بيانات من شركة CertiK أظهرت أن أكثر من 310 ملايين دولار قد فُقدت نتيجة مزيج من عمليات الاختراق والاحتيال والاستغلال في أغسطس 2024. وأكدت البيانات أن هذه كانت ثاني أعلى خسارة شهرية في عام 2024. ووفقًا للبيانات، فقد فُقد ما يقرب من 0.8 مليون دولار بسبب عمليات الاحتيال عند الخروج، وما يقرب من 1.2 مليون دولار بسبب القروض السريعة، و308.8 مليون دولار بسبب الاستغلال، بينما لم يتم استرداد سوى 10.3 مليون دولار. 

كشفت بيانات CertiK أن ضحايا التصيد الاحتيالي خسروا ما مجموعه 293 مليون دولار. ومن الجدير بالذكر أن أبرز هجمات القروض السريعة في أغسطس/آب أسفرت عن خسائر لشركات Vow (1.2 مليون دولار)، وMintStakeShare (33.5 ألف دولار)، وSatoshi (5 آلاف دولار)، بينما أسفرت أبرز عمليات الاحتيال عند الخروج عن خسائر لرموز Grimace (649 ألف دولار)، وSigma (136 ألف دولار)، وMbappe (88 ألف دولار). أما أبرز عمليات الاستغلال في أغسطس/آب فقد تعرضت لها شركات Ronin Network (11.8 مليون دولار)، وNexera (448.8 ألف دولار)، وConvergence (210 آلاف دولار)، وiVest DAO (172 ألف دولار)، و AAVE Periphery Ctr (64 ألف دولار).

كشفت شركة Immunefi أن أكثر من 1.2 مليار دولار قد خسرت بسبب قراصنة العملات المشفرة في عام 2024، وهو ما يمثل زيادة بنسبة 15.5٪ مقارنة بالفترة نفسها من عام 2023.