تمكن أحد المتسللين من استنزاف أكثر من 6 ملايين دولار من بروتوكول التمويل اللامركزي (DeFi) Delta Prime عن طريق سك عدد كبير بشكل تعسفي من الرموز المميزة لإيصالات الودائع.
وفقا لبيانات من كتلة Explorer Arbiscan، المهاجم سكت أكثر من 115 مليونًا من رموز Delta Prime USD (DPUSDC) في الهجوم الأولي، وهو ما يزيد عن 1.1*10^69 في التدوين العلمي.
دولار أمريكي
1.00 دولار
عملة مستقرة محتفظ بها في Delta Prime. من المفترض أن تكون قابلة للاسترداد بنسبة 1:1 لـ USDC.
على الرغم من سك هذا العدد الكبير من إيصالات إيداع USDC، فقد أحرق المهاجم 2.4 مليون منها فقط، وحصل في المقابل على 2.4 مليون دولار من عملة USDC المستقرة.
يقوم المهاجم بسك عدد كبير جدًا من رموز DPUSDC واسترداد بعضها. المصدر: أربيسكان.
ثم كرر المهاجم هذه الخطوات لرموز استلام الودائع الأخرى، حيث قام بسك ما يزيد عن 1 ديوفجينتيليون دلتا برايم ملفوف بيتكوين (DPBTCb)، و115 أوكتوديسيلون دلتا برايم ملفوف إيثر (DPWETH)، و115 أوكتوديسيلون دلتا برايم أربيتروم (DPARB)، والعديد من الرموز المميزة لإيصالات الودائع الأخرى. في النهاية، استرداد جزء صغير من المبلغ المسكوك لتلقي أكثر من مليون دولار من عملة البيتكوين
بيتكوين
57,657 دولار
إيثريوم
2,278 دولار
و Arbitrum (ARB) والرموز الأخرى.
وفقًا لأخصائي أمن blockchain، Chaofan Shou، فقد سرق المهاجم ما يقدر بنحو 6 ملايين دولار من الأموال حتى الآن.
مصدر: شوفان شو.
كان المهاجم قادرًا على سك رموز إيصالات الإيداع هذه من خلال التحكم أولاً في حساب مسؤول ينتهي بـ b1afb، وهو ما حققه على الأرجح عن طريق سرقة المفتاح الخاص للمطور. باستخدام هذا الحساب، فإنهم مُسَمًّى وظيفة “ترقية” في كل عقد من عقود مجمع السيولة الخاصة بالبروتوكول.
تم تصميم هذه الوظائف لاستخدامها في ترقيات البرامج. إنها تسمح للمطور بتغيير الكود في العقد من خلال جعل الوكيل الخاص به يشير إلى عنوان تنفيذ مختلف.
ومع ذلك، استخدم المهاجم هذه الوظائف لتوجيه كل وكيل إلى عقد ضار أنشأه المهاجم. سمح كل عقد ضار للمهاجم بصك عدد كبير بشكل تعسفي من إيصالات الإيداع، مما سمح له فعليًا باستنزاف كل مجموعة من الأموال.
عقود ترقية مهاجم Delta Prime. المصدر: أربيسكان.
دلتا برايم اعترف الهجوم في منشور X، مشيرًا إلى أنه “في الساعة 6:14 صباحًا بتوقيت وسط أوروبا، تعرضت شركة DeltaPrime Blue (Arbitrum) للهجوم وتم استنزافها مقابل 5.98 مليون دولار.”
وزعمت أن إصدار Avalanche، DeltaPrime Blue، ليس عرضة للهجوم. وذكر أيضًا أن تأمين البروتوكول “سيغطي أي خسائر محتملة حيثما كان ذلك ممكنًا/ضروريًا”.
متعلق ب: منصة DeFi Delta Prime تعاني من اختراق بقيمة 6 ملايين دولار
يوضح هجوم Delta Prime خطورة بروتوكولات DeFi التي تستخدم عقودًا قابلة للترقية.
تم تصميم نظام Web3 البيئي لمنع اختراق المفاتيح الخاصة من استغلال البروتوكولات بأكملها.
من الناحية النظرية، يجب أن يحتاج المهاجم إلى سرقة المفاتيح الخاصة لكل مستخدم لاستنزاف البروتوكول بأكمله. ومع ذلك، عندما تكون العقود قابلة للترقية، فإنها تقدم عنصرًا من مخاطر المركزية، مما قد يؤدي إلى خسارة قاعدة المستخدمين بأكملها لأموالها.
ومع ذلك، تعتقد بعض البروتوكولات أن التخلي عن القدرة على الترقية قد يكون أسوأ من البديل، لأنه قد يمنع المطور من إصلاح الأخطاء التي تم اكتشافها بعد النشر. يستمر مطورو Web3 في مناقشة متى يجب أن تسمح البروتوكولات بالترقية أو لا تسمح بها.
تستمر عمليات استغلال العقود الذكية في تشكيل خطر على مستخدمي Web3. في 11 سبتمبر، مهاجم استنزاف أكثر من 1.4 مليون دولار من مجمع سيولة رمز CUT باستخدام سطر غامض من التعليمات البرمجية يشير إلى وظيفة لم يتم التحقق منها في عقد منفصل.
في 3 سبتمبر، تم استنزاف أكثر من 27 مليون دولار من بروتوكول Penpie بعد نجاح المهاجم سجلوا العقد الخبيث الخاص بهم كسوق رمزي.
