أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
أعلنت شركة Aztec Labs عن إيقاف منتج Aztec Connect بعد استغلال ثغرة أمنية بقيمة 2.1 مليون دولار
- كان هجوم Aztec Connect ناتجًا عن خلل في التحقق من الإثبات غير مكتمل سمح بعمليات السحب الاحتيالية بتجاوز عمليات التحقق من الصحة.
- نظراً لأن Aztec Connect كان لامركزياً بالكامل وتم التخلي عنه منذ سنوات، فلا يمكن إصلاح الثغرة الأمنية، ولا يمكن إيقاف البروتوكول مؤقتاً.
- أكدت مختبرات أزتيك ومؤسسة أزتيك أن الثغرة الأمنية لا تؤثر على شبكة أزتيك الحالية أو رمز AZTEC.
أفادت التقارير أنtracAztec Connect الذكي قد خسر 2.1 مليون دولار بعد أن استغل مهاجم ثغرة أمنية في نظام التحقق الخاص بجسر الخصوصية، والذي تم إيقافه قبل ثلاث سنوات. ويكمن التحدي في هذا الهجوم في أن الثغرة الأمنية عصية على الإصلاح، وفقًا لفريق Aztec Labs.
تضمنت الأموال المسروقة ما يقرب من 909 إيثيريوم، و270,000 داي، و167 دبليو إس تي إيثيريوم، وفقًا لشركة أمن البلوك تشين BlockSec، التي رصدت المعاملة المشبوهة من خلال نظام المراقبة Phalcon الخاص بها.
قبل أن توقف شركة Aztec Labs دعمها في مارس 2023، Aztec Connect عبارة عن جسر zk-rollup يتيح للمستخدمين التفاعل مع DeFi بروتوكولات Aave وLido مع حماية تفاصيل المعاملات من خلال إثباتات المعرفة الصفرية. توقفت Aztec Labs عن تشغيل برنامج التسلسل الخاص بها بحلول مارس 2024.
ارتفع سعر رمز AZTEC بأكثر من 5% حتى وقت صدور تقرير Cryptoplitan.
ما هو الخلل الذي مكّن المهاجم من استغلال ثغرة Aztec Connect؟
كان الخلل ناتجًا عن عدم تطابق يتعلق بالحدود بين مجموعة المعاملات التي تم التحقق منها ومعالجة تسوية L1 وفقًا لتحليل BlockSec Phalcon على X.
ووفقاً لشركة الأمن CertiK، فإن الخلل كان يتمثل في عدم اكتمال التحقق من صحة بيانات الإثبات المقدمة.
كانت إحدى وظائفtracتتحقق فقط من بداية الإثبات بينما لم يتم التحقق من تعليمات تحويل الرموز المضمنة في أماكن أخرى، وهذا ما سمح للمهاجم بالتلاعب بعمليات السحب.
ما هو رد شركة Aztec Labs على هذا الاستغلال؟
أكدت شركة Aztec Labs أنها تُجري تحقيقًا في الأمر، لكنها أوضحت أنه لا تملك آلية للتدخل. وكتب الفريق على منصة X: "تم إيقاف دعم Aztec Connect منذ ثلاث سنوات. لا تملك Aztec Labs أي مفاتيح إدارية أو سيطرة على النظام؛ ولا يمكننا إيقافه أو ترقيته" .
وفي بيان منفصل، مؤسسة أزتيك على منصة X، ذكرت فيه أن المؤسسة أكدت أن الحادثdent له أي صلة بأي عقود ذكيةtracبرمز AZTEC ERC-20 أو شبكة أزتيك الحالية، والتي تركز على العقود الذكيةtrac.
وكتبت مؤسسة أزتيك: "تم إيقاف دعم Aztec Connect منذ 3 سنوات، ولم تعد Aztec Labs تحتفظ بأي سيطرة على النظام".
عندما أوقفت شركة Aztec Labs دعم الجسر، تخلت عن مفاتيح الإدارة الخاصةtracنظرًا لكونه بروتوكولًا يركز على الخصوصية. ومع ذلك، فإن المقابل هو أنه بمجرد فقدان المفاتيح، لا يمكن لأحد نشر إصلاح عند ظهور ثغرة أمنية.
ما هي تكلفة استغلال الثغرة؟
وفقًا لبيانات DefiLlama ، احتوت Aztec Connecttracعلى حوالي 2.15 مليون دولار من القيمة الإجمالية المقفلة قبل الهجوم، وكانت هذه هي الأموال التي تمكن المستغل من الوصول إليها.
كانت الأموال غير مراقبة، ولم يفعل الفريق شيئًا حيالها، لأن أي أصول متبقية بداخلها تعتمد كليًا على سلامة الكود الأصلي.
كما أن ثغرة Aztec Connect تسلط الضوء على المخاطر المتكررة التي يتعرض لها المستخدمون الذين يتركون أموالهم فيtracالقديمة بعد انتقال المشروع.
تتواصل إنجازات شهر يونيو في التزايد
لقد انقضى نصف شهر يونيو بالفعل، ومع تزايد عمليات الاختراق، يبدو أن بروتوكولات العملات المشفرة لا تنال أي راحة. شهد شهر مايو أيضًا العديد من عمليات الاختراق، وتشهد المنصات التي تم إيقاف دعمها مؤخرًا زيادة في الهجمات.
Cryptopolitan تقارير عن عمليات استغلال استهدفت Gnosis Pay و TesseraDAO في الأيام الأولى من شهر يونيو، حيث خسرت TesseraDAO وحدها 2.5 مليون دولار في هجوم سك وتفريغ على BNB Chain.
بحسب DeFiبيانات، فقد وصلت الخسائر التراكمية الناتجة عن عمليات الاستغلال في يونيو إلى ما يقرب من 43.93 مليون دولار حتى منتصف الشهر.
أذكى العقول في عالم العملات الرقمية يتابعون نشرتنا الإخبارية بالفعل. هل ترغب بالانضمام إليهم؟ انضم إليهم.
الأسئلة الشائعة
ما هو برنامج Aztec Connect ولماذا تم استغلاله؟
كان Aztec Connect جسرًا بتقنية zk-rollup على Ethereum يوفر الخصوصية لمعاملات التمويل DeFi . تم إيقاف دعمه في مارس 2023، ونظرًا لتخلي الفريق عن مفاتيح الإدارة، لم يكن من الممكن إصلاح ثغرة التحقق فيtracالذكي غير القابل للتغيير، مما سمح لمهاجم بسحب ما يقارب 2.1 مليون دولار في 14 يونيو 2026.
هل يؤثر استغلال ثغرة Aztec Connect على رمز AZTEC أو شبكة Aztec الحالية؟
لا. أكدت كل من مختبرات أزتيك ومؤسسة أزتيك أنtracالمستغلة ليس لها أي صلة برمز AZTEC ERC-20 أو أيtracذكية مرتبطة بشبكة أزتيك الحالية.
كيف استغل المهاجمtrac؟
وفقًا لتحليل BlockSec، كان السبب الجذري هو عدم التوافق بين التحقق من معاملات التجميع فيtracومنطق معالجة التسوية من المستوى الأول، مما سمح للمهاجم بخداعtracللإفراج عن أموال لم يكن ينبغي له الإفراج عنها.
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtronبإجراء بحث مستقلdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.
هانا كوليمور
هانا كاتبة ومحررة تتمتع بخبرة تقارب عشر سنوات في كتابة المدونات وتغطية الأحداث في مجال العملات الرقمية. في Cryptopolitan، تُساهم هانا في صفحة الأخبار، حيث تُغطي وتُحلل آخر التطورات في DeFi، والأصول المُدارة بالمخاطر (RWA)، وتنظيم العملات الرقمية، والذكاء الاصطناعي، وقطاعات التكنولوجيا الرائدة. تخرجت هانا من جامعة أركاديا بشهادة في إدارة الأعمال.
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)