هاجم قراصنة الإنترنت نسخةً معدلة من بروتوكول Flooring، وهي Asterisk، مع انتشار العدوى

لقد شهد استغلال بروتوكول Flooring في 8 يونيو تكملة في وقت سابق من اليوم عندما أصبح Asterix، وهو نسخة معدلة من منصة سيولة NFT، ضحية لاستغلال أدى إلى استنزاف ما يقرب من 40000 دولار من الأصول. 

أدت أخبار الاستغلال إلى تعكير الأجواء بعد أن أفاد باحثون من ذوي القبعة البيضاء أنهم ساعدوا في استعادة أكثر من 500 ألف دولار من الرموز غير القابلة للاستبدال (NFTs) ذات القيمة العالية من نفسtracعقود الأرضيات التي يبدو أنها استخدمت لاختراق برنامج أستريسك.

انتشرت ثغرة بروتوكول Flooring إلى Asterisk عبر شفرة متفرعة

كان فالكون، العضو في شركة BlockSec لأمن البلوك تشين، من أوائل من لاحظوا أوجه التشابه بين أسلوب هجوم أستريكس والخلل الذي سمح للمهاجمين باستنزاف مجموعات بروتوكول Flooring في 8 يونيو.

قال فالكون إن هجوم بروتوكول الأرضيات تم تنفيذه بشكل أساسي على أستريكس لأن الأخير تم تفرعه على ما يبدو من DN404/BT404، وهو معيار رمزي يمزج بين الآليات القابلة للاستبدال وغير القابلة للاستبدال.

الأرضياتdent إلى أن الخسائر تجاوزت 900 ألف دولار قبل أن تدخلات الخبراء في استرداد حوالي 500 ألف دولار.

أكدت شركة أستريكس بالفعل حدوث الاختراق في بيان رسمي، معترفةً باستغلال ثغرة أمنية استهدفت عقد رمز $ASTXtracالساعة الرابعة صباحًا بتوقيت غرينتش +8. وأوضح الفريق أنه يجري تحقيقًا في الأمر وسينشر تقريرًا مفصلًا بعد اكتمال التحليل.

كيف حدث استغلال ثغرة الأرضيات؟

سمحت شركة Flooring Protocol، التي أوقفت عملياتها العام الماضي، للمستخدمين بإيداع الرموز غير القابلة للاستبدال في مجموعات واستلام رموز قابلة للاستبدال مرتبطة بنسبة واحد إلى واحد بتلك الأصول المقفلة.

استغل هجوم بروتوكول الأرضيات الذي بدأ ينتشر منذ ذلك الحين ثغرة في نظام المحاسبة الخاص بالمنصة على غرار BT404 والذي وصفه نائب رئيس شركة Yuga Labs لتقنية البلوك تشين بأنه ظاهرة "الملكية الوهمية" علىX.

ببساطة، هذا يعني أن بإمكان شخص ما استخدام معرف رمز مميز خبيث واحد لتجاوز فحص ملكية واحد، ثم إعادة استخدامه لإنتاج نتيجة مختلفة في منطق محاسبي آخر، مما يتسبب في مشكلةmaticفي رصيد الرمز المميز.

في هذه الحالة، أنشأ المهاجم رصيدًا شبه لانهائي من رموز fpTokens، وهي الرموز القابلة للاستبدال التي يمكن لأي شخص استخدامها للمطالبة برموز NFT المحجوزة في مجموعات Flooring.

يبذل مختبر يوجا جهودًا أخلاقية

بمجرد أن أصبح تسريب بيانات شركة Flooring علنيًا، قال مايكل فيج، الرئيس التنفيذي لشركة Yuga Labs، إن الشركة سارعت إلى إطلاق عملية إنقاذ من قبل قراصنة أخلاقيين قبل أن يتمكن مهاجم آخر من الوصول إلى رموز NFT الضعيفة.

أسفرت عملية إنقاذ NFT عن تأمين 68 NFT بقيمة تقدر بـ 346 ETH (ما يقرب من 570,000 دولار في ذلك الوقت)، بما في ذلك 29 NFT من Bored Ape Yacht Club، وأربعة من Mutant Apes، واثنين من CryptoPunks، وواحد من Azuki، واثنين من Elementals، و26 من Captains، وواحد من Moonbird، واثنين من Doodles.

مشروع Super Secret Rare (SSR)، الذي اكتشف ثغرته الأمنية بعد تعرض Asterisk للهجوم، المستخدمين من التفاعل مع مجموعة التداول بينما ظل الوضع دون حل.

أكدت شركة FreeLunchCapital، المطورةtracFlooring المتأثرة، أن الثغرة الأمنية طالت أيضًا BitmapPunks، التي استخدمت تصميمًا مشابهًاtrac. يعتمد كلا المشروعين على رموز قابلة للاستبدال مرتبطة بشكل مباشر برموز NFT مقفلة، مما يجعلهما عرضة لنفس مسار الهجوم.

يستغل أحدهم الآخر. استغلال يتبعه استغلال آخر

منdentتُضاف حوادث Flooring وAsterix إلى الإخفاقات الأمنية التي تجتاح Web3. وكما Cryptopolitan في تقارير سابقة،tronتضاعفت الخسائرdentأمنية مؤكدةdentبإجمالي خسائر بلغ 68.3 مليون دولار أمريكي وفقًا لشركة Certik. ونسبت شركة PeckShield خسائر بقيمة 340.7 مليون دولار أمريكي إلى 14 ثغرة أمنية في سلاسل الكتل المختلفة حتى 1 يونيو/حزيران.

تُسبب البروتوكولات المتفرعة مشاكلها الخاصة. فعندما تنسخ المشاريع اللاحقة الشفرة دون تدقيقها، يمكن تكرار ثغرة أمنية واحدة في قاعدة الشفرة الأساسية عبر مستويات متعددة، كما حدث في قضية Flooring وAsterix.

أعلنت شركة Yuga Labs أن الرموز غير القابلة للاستبدال (NFTs) التي تم استردادها ستُعاد بمجرد أن يُصدر مطورو بروتوكول Flooring تحديثًا أمنيًا. وحذّرت شركة 0xQuit المستخدمين من إيداع رموز NFTs جديدة في Flooring طالما بقيت الثغرة الأمنية قائمة. أما بالنسبة لحاملي عملة Asterix، فإن الخسارة البالغة 40,000 دولار أمريكي تُعدّ أقلّ، لكن الفريق لم يُفصح بعد عن إمكانية استردادها.