ثلاث هجمات DeFi تحقق 10 ملايين دولار في 48 ساعة رغم ‘لحظة النهضة’

أمس، شهدت بروتوكولات التمويل اللامركزي (DeFi) اثنتين من عمليات الاختراق التي أفضت إلى خسائر تزيد عن 5 ملايين دولار، مع سرقة مماثلة من المحافظ المخترقة يوم الأربعاء.

في حين كان مؤسسو بروتوكولات OG، Aave وMaker (الآن Sky)، مستمتعين بلعب Starcraft في لحظة يصفونها بـ”نهضة DeFi”، كانت بعض المشاريع الأقل شهرة في هذا القطاع تسجل أرقامًا قياسية لأسباب خاطئة.

اختراق متكرر أو خطأ جديد؟

الأول كان بروتوكول Onyx الذي خسر 3.8 مليون دولار، والذي كان يُعتقد في البداية أنه تكرار للخطأ المعروف الذي استنزف 2.1 مليون دولار من المشروع في نهاية العام الماضي.

Onyx هو فرع من Compound Finance، الذي يحتوي على ثغرة مشهورة حيث تُترك الأسواق المالية الفارغة مفتوحة لفترة قصيرة لهجوم تلاعب بالأسعار إذا لم تُدار بشكل صحيح.

نظرًا لشعبية قاعدة شفرة Compound v2 بين مطوري DeFi السريعين، يُستغل هذا الخطأ بشكل منتظم في هذا القطاع وتم تحديده أولاً كسبب للخسارة الأخيرة لـ Onyx.

ومع ذلك، كما أشار الفريق في موضوع ‘تقرير ما بعد الوفاة’ على منصة X (تويتر سابقًا)، تكون الثغرة هذه المرة أيضًا في ‘عقد تصفية NFT’ للبروتوكول. تمكن المهاجم من استنزاف العملة المستقرة vUSD التي تم بيعها بعد ذلك، مما تسبب في فك ارتباطها بقيمتها.

أمر ما لا يتناسب

ثانيًا، جاء بروتوكول ‘إعادة رهن البيتكوين’ Bedrock الذي بدا متفائلًا بشكل مفرط على ETH، مما كلفه حوالي 2 مليون دولار.

سمحت الشفرة الخاطئة للمستخدمين بصك رمز uniBTC الخاص بـ Bedrock بمعدل 1:1 مع رموز ETH المرهونة، دون الأخذ في الاعتبار الفرق السعري بين الأصلين (المقدر حينها بحوالي 65,000 دولار مقابل 2,650 دولار، على التوالي).

ثم بيعت رموز uniBTC من أجل رمز بيتكوين ملفوف آخر، محققة عائدًا يقارب 25 ضعفًا.

يدعي مدقق الأمان الكريبتوغرافي Dedaub أنه حدد الثغرة مسبقًا، قائلاً إن مثل هذا الخطأ البسيط يمكن اكتشافه واستغلاله تلقائيًا بواسطة ‘روبوتات الفازينغ’.

بالرغم من تحذير فريق Bedrock قبل ساعتين من الهجوم، لم يكن هناك رد بسبب اختلاف المناطق الزمنية. ومع ذلك، عن طريق إثارة المشكلة بشكل منفصل مع Pendle، وهي منصة لديها تعرض قيمته 30 مليون دولار لـuniBTC، تم تجنب المزيد من الخسائر بنجاح.

استجاب فريق Bedrock للحادث، مطمئنًا المستخدمين بأن كل ضمانات uniBTC لا تزال سليمة. قدر الفريق الخسائر بـ “حوالي 2 مليون دولار (معظمها في LPs على DEX)”، مضيفًا أن “خطة تعويض شاملة قيد العمل”.

مفاتيح مخترقة؟

يوم الأربعاء، حذر مشروع Truflation الذي يركز على الأصول الحقيقية من “بعض النشاط غير الطبيعي”، والذى نسبه إلى هجوم برمجيات ضارة.

أشار محقق البلوكشين ZachXBT إلى خسائر إجمالية تتجاوز 5 ملايين دولار من عناوين تم تحديدها كمحافظ متعددة التوقيعات وأخرى شخصية تخص المشروع، مشيرًا إلى قائمة عناوين عبر قناته على تيليجرام.

رغم أن الإفصاحات الأولية كانت شحيحة على التفاصيل، إلا أنها تضمنت مكافأة لأي “قبعة بيضاء” يمكنها المساعدة في التحقيق. وتبع ذلك رسالة على البلوكشين للمهاجم، تعرض عليه “مكافأة” بنسبة 10% مقابل إعادة الأموال.

بحال لم تُعاد الأموال قبل الساعة 8 صباحًا (UTC) يوم السبت، سوف تُفتح المكافأة للعامة مقابل معلومات تؤدي إلى الإدانة.

الأسئلة الشائعة

• ما هي المشاريع التي تعرضت للاختراق؟

  تعرضت بروتوكولات Onyx وBedrock للاختراق، حيث خسر الأول 3.8 مليون دولار والثاني حوالي 2 مليون دولار.

• ما هي الثغرات المستغلة في الهجوم؟

  شملت الثغرات ثغرات في عقد التصفية NFT الخاص بـ Onyx وشفرةخاطئة في Bedrock سمحت بتفاوت أسعار الأصول المرهونة.

• كيف استجاب الفريقان للهجمات؟

  استجاب فريق Onyx بتحليل شامل لما بعد الحادثة، بينما طمأن فريق Bedrock المستخدمين بأن جميع الضمانات سليمة وأعلن عن خطة تعويض شاملة.