تم استنزاف أكثر من ١٤٠٠ مجمع سيولة مرتبط بعقود DxSale القديمة على سلسلة BNB في عملية استغلال بقيمة ٧,٣ مليون دولار تم الإبلاغ عنها من قبل شركات أمن بلوكتشين يوم ٢٩ مايو.
يضيف الهجوم إلى قائمة متزايدة من خروقات التمويل اللامركزي DeFi هذا الشهر، حيث يحذر خبراء الأمن من أن العقود الذكية القديمة وضوابط الوصول الضعيفة تترك البروتوكولات مكشوفة.
ماذا حدث
وفقًا لحساب الأمان الموجود على السلسلة PeckShieldAlert، حدد مستخدم يُدعى “Tahax” الثغرة لأول مرة. وفقًا لتقريرهم، استهدف المهاجمون ما لا يقل عن 1400 عقد مجمع سيولة قديم من DxSale على سلسلة BNB، مما أدى إلى استنزاف ما قيمته 7.3 مليون دولار من العملات المشفرة، والتي قاموا بعد ذلك بتوجيهها عبر AnySwap في محاولة لإخفاء مسارهم.
وأضاف PeckShield أن العنوان الذي تم تحديده باسم “0xC457…FA69” قد قام بتحويل 2,958 BNB من الاختراق، بقيمة 1.87 مليون دولار، إلى محفظتين رئيسيتين، ثم قامتا بعد ذلك بنقل الأموال من خلال عدة عناوين إيداع على Binance.
DxSale عبارة عن منصة إطلاق تتيح لمشاريع العملات المشفرة إنشاء الرموز المميزة ومجموعات السيولة دون بناء البنية التحتية الخاصة بها. لقد كان الأمر كبيرًا جدًا منذ حوالي خمس سنوات، حيث قامت العديد من المشاريع بإطلاق الرموز المميزة على سلسلة BNB وتأمين LPs الخاصة بهم بالبروتوكول.
وفقًا لـ Tahax، كانت الخزانة لا تزال تحتوي على LPs من المشاريع التي لم يتم التطرق إليها منذ سنوات، حيث يعتقد المؤسسون والمالكون أنها آمنة. ومع ذلك، منذ ما يقرب من تسعة أشهر، قام موزع DxSale بنقل ملكية الخزانة إلى محفظة جديدة دون أي إعلان عام أو إشعار ترحيل. يدعي الديجن الموجود على السلسلة أن عقد الخزانة لم يتم التحقق منه ومن المحتمل أنه يحتوي على باب خلفي، وهو ما استغله المهاجم.
قبل يومين، ورد أن 0xC457…FA69، وهي محفظة جديدة تمامًا ممولة من Bybit ومن المحتمل أن يتم توجيهها من خلال AnySwap، استحوذت على ملكية الخزانة، وفي غضون ساعات بدأت في استنزاف LPs.
DxSale نفسها لم تصدر بعد بيانًا بشأن الاستغلال.
تستمر المخاوف الأمنية المتعلقة بـ DeFi في النمو
لم يحدث اختراق DxSale بشكل منفصل، حيث خسر قطاع العملات المشفرة ما لا يقل عن 650 مليون دولار في أبريل من حوادث مماثلة. حصلت ماي أيضًا على نصيبها العادل من الهجمات، بما في ذلك هجوم الأسبوع الماضي، حيث سرق شخص أكثر من 11 مليون دولار من جسر Verus بعد استغلال خلل في كيفية التحقق من مبالغ الدفع. وفقًا للباحثين الأمنيين، قدم المهاجم معاملة صغيرة اجتازت فحوصات التحقق بينما لا يزال يفتح عمليات سحب كبيرة من احتياطيات الجسر.
في وقت سابق من الشهر، تعرض مزود السيولة TrustedVolumes أيضًا لخسارة قدرها 5.9 مليون دولار تقريبًا بعد أن أساء أحد المتسللين استخدام نقاط الضعف في نظام التسوية المخصص الخاص به، حيث أشار المحللون إلى أن الاستغلال نجح لأن البروتوكول فحص التفويض مقابل عنوان واحد أثناء سحب الأموال من عنوان آخر.
وكانت THORChain أيضًا ضحية، حيث قالت شركة ZachXBT للمحققين على السلسلة إنها ربما خسرت أكثر من 10 ملايين دولار، مما أدى إلى انخفاض رمز RUNE المميز الخاص بها بنسبة 15٪ في غضون دقائق.
وقد أثار هذا التدفق المستمر من الثغرات ردود فعل، حيث أعلن مانويل أراوز، المؤسس المشارك لـ OpenZeppelin، أن “جميع خدمات التمويل اللامركزي غير آمنة”، مجادلًا بأن المهاجمين بمساعدة الذكاء الاصطناعي يجدون نقاط الضعف بشكل أسرع من قدرة فرق الأمن على تصحيحها.
تم نشر ما يزيد عن 1400 من مزودي السيولة في 7.3 مليون دولار من استغلال DxSale لأول مرة على CryptoPotato.
