خسرت TrustedVolumes، وهي مزود السيولة في سلسلة Ethereum blockchain، حوالي 5.9 مليون دولار من الأموال إلى أحد المتسللين يوم الخميس.
تمكن المهاجم من استغلال ثغرة أمنية داخل نظام التداول المخصص الذي تستخدمه المنصة وتمكن من سحب الأموال، والتي تضمنت ETH وWBTC بالإضافة إلى العملات المستقرة USDT وUSDC.
ماذا حدث
وفقًا لشركة أمن blockchain Blockaid، التي اكتشفت الاستغلال أثناء حدوثه، تضمنت الأموال المسروقة 1,291 WETH، وحوالي 16.9 WBTC، وحوالي 206,000 USDT، وأقل بقليل من 1.27 مليون USDC.
نجح الهجوم من خلال استغلال خلل في التصميم في نظام تسوية الطلبات المخصص لشركة TrustedVolumes، والمعروف باسم وكيل طلب عرض الأسعار (RFQ).
نشر GoPlus Security تفصيلاً يوضح أن المهاجم سجل نفسه باعتباره “موقع الطلب” معتمدًا باستخدام وظيفة تسمى “registerAllowedOrderSigner()” والتي كانت متاحة للعامة.
تسمح هذه الوظيفة لأي شخص بتعيين عنوانه الخاص باعتباره موقعًا صالحًا للتداولات التي يتحكم فيها، وفي حين أن ذلك عادةً ما يكون غير ضار بدرجة كافية، إلا أن وظيفة التسوية واجهت مشكلة منفصلة: فقد تحققت من التفويض مقابل عنوان واحد بينما كانت في الواقع تسحب الأموال من عنوان مختلف.
كما هو مفصل في تقرير فني نشره الباحث الأمني Defi Nerd، استخدم المهاجم تلك الثغرة لتنفيذ أربع معاملات استنزاف مقابل عقد محلل TrustedVolumes، الذي كان قد منح الوكيل الإذن مسبقًا لنقل الرموز المميزة الخاصة به.
وفقًا لهم، في كل مرة، يقوم الوكيل بسحب الأصول من وحدة الحل ويرسل فقط وحدة USDC خام واحدة. ثم قام المهاجم بتحويل WETH المسروق مرة أخرى إلى ETH وأعاد توجيه كل شيء إلى محفظته الخاصة.
أكدت TrustedVolumes الاستغلال ونشرت علنًا ثلاثة عناوين للمحفظة تحتوي على الأموال المسروقة، وطلبت من المتسلل التواصل بشأن “مكافأة الخلل والحل المقبول للطرفين”.
1 بوصة تنأى بنفسها مع استمرار اختراقات التمويل اللامركزي
نظرًا لأن TrustedVolumes تعمل كمزود سيولة وصانع سوق على 1 بوصة، فقد صورت بعض التقارير المبكرة الحادث على أنه استغلال 1 بوصة.
ومع ذلك، فإن هذا ليس دقيقًا، وقد أصدرت كل من 1inch وBlockaid بيانات توضح أن البروتوكول نفسه لم يتم اختراقه ولم تتأثر أي أموال مستخدم على 1inch. تعمل TrustedVolumes بشكل مستقل عبر منصات متعددة، وليس حصريًا على 1 بوصة.
وقع الهجوم خلال فترة صعبة بشكل خاص لنظام التمويل اللامركزي DeFi البيئي منذ أن أعقب شهر أبريل الكارثي، حيث تمت سرقة ما يزيد عن 650 مليون دولار من العملات المشفرة من مشاريع مختلفة.
كان KelpDAO وDrift Protocol الأكثر تضرراً، حيث تم سحب 292 مليون دولار منهم و285.2 مليون دولار منهم.
لذا، تبلغ تكلفة هذا الاستغلال الأخير 5.9 مليون دولار، وهو أصغر حجمًا. لكن التعقيد الفني لهذا النهج، ونشر عقد مساعد، وإساءة استخدام تسجيل موقع الخدمة الذاتية، واستغلال عدم تطابق الصانع/مصدر التمويل في معاملة واحدة، يضعه في فئة مختلفة عن خطأ بسيط أو خطأ في التكوين.
ظهر المنشور الذي قام فيه الهاكر بسحب 5.9 مليون دولار من مزود السيولة في Ethereum TrustedVolumes لأول مرة على CryptoPotato.
