في يوم ٨ يونيو، حدث اختراق لمنصة Flooring Protocol، واليوم حصل تكملة لهذا الاختراق. منصة Asterix، وهي نسخة مشتقة (fork) من منصة $NFTliquidity، وقعت ضحية لاختراق سحب حوالي ٤٠ ألف دولار من الأصول.
هذا الخبر السيئ يخفي الأجواء الجميلة، بعدما ساعد باحثون أمنيون (White Hat) في استرداد أكثر من ٥٠٠ ألف دولار من رموز NFT الأصلية من نفس الثغرة الأمنية في عقد Flooring Protocol، والثغرة نفسها استُخدمت لاختراق Asterix.
ثغرة Flooring Protocol انتشرت لـ Asterix عبر الكود المنسوخ
عضو في شركة الأمن بلوكتشين BlockSec، ويدعى Phalcon، كان من أوائل من لاحظوا التشابه بين هجوم Asterix والثغرة التي سمحت للمهاجمين بسحب الأموال من مجمعات Flooring Protocol في ٨ يونيو. قال Phalcon إن هجوم Flooring Protocol تكرر تقريبًا على Asterix لأن الأخيرة كانت مشتقة من معيار رمز DN404/BT404، وهو معيار يخلط بين الخصائص القابلة للاستبدال وغير القابلة للاستبدال.
التقارير الأولية عن حادثة Flooring قدرت الخسائر بأكثر من ٩٠٠ ألف دولار، قبل أن يساعد تدخل الباحثين الأمنيين في استرداد حوالي ٥٠٠ ألف دولار. أكدت Asterix الاختراق في بيان على X، وأوضحت أن اختراقًا استهدف عقد رمز $ASTX حوالي الساعة ٤ صباحًا بتوقيت جرينتش+٨. قال الفريق إنه يتحقق وسينشر تقريرًا كاملًا بعد انتهاء التحليل.
كيف حدث اختراق Flooring؟
منصة Flooring Protocol، التي أوقفت عملياتها العام الماضي، كانت تسمح للمستخدمين بإيداع رموز NFT في مجمعات والحصول على رموز قابلة للاستبدال (fungible tokens) مرتبطة بقيمة ١:١ لهذه الأصول المحجوزة.
هجوم Flooring Protocol استغل ثغرة في نظام المحاسبة من نوع BT404، أطلق عليه نائب رئيس بلوكتشين في Yuga Labs اسم “Ghost Ownership” (الملكية الوهمية) على X.
بكلمات بسيطة، يعني ذلك أن شخصًا يمكنه استخدام معرف رمز ضار واحد لاجتياز فحص ملكية واحد، ثم إعادة استخدامه لإنتاج نتيجة مختلفة في منطق محاسبي آخر، مما يسبب مشكلة رياضية في توازن الرمز. في هذه الحالة، أنشأ المهاجم رصيدًا غير محدود تقريبًا من رموز fpTokens، وهي رموز قابلة للاستبدال يمكن لأي شخص استخدامها للمطالبة برموز NFT المحجوزة في مجمعات Flooring.
Yuga Labs تتدخل بعملية إنقاذ أمنية
بمجرد أن أصبح الاختراق علنيًا، قال الرئيس التنفيذي لـ Yuga Labs، Michael Figge، إن الشركة أطلقت بسرعة عملية إنقاذ أمنية قبل أن يصل مهاجم آخر إلى رموز NFT المعرضة للخطر.
- عملية الإنقاذ أمنت ٦٨ رمز NFT بقيمة تقدر بـ ٣٤٦ إيثر (حوالي ٥٧٠ ألف دولار في ذلك الوقت).
- تضمنت هذه الرموز ٢٩ من Bored Ape Yacht Club، و٤ من Mutant Apes، و٢ من CryptoPunks، وواحد من Azuki، و٢ من Elementals، و٢٦ من Captains، وواحد من Moonbird، و٢ من Doodles.
مشروع Super Secret Rare (SSR)، الذي اكتشف ثغرة بعد اختراق Asterix، حذر المستخدمين من التفاعل مع المجمع بينما الوضع غير محلول. أكدت FreeLunchCapital، المطور خلف عقود Flooring المتضررة، أن الاختراق أصاب أيضًا BitmapPunks، التي استخدمت تصميم عقد مشابه. كلا المشروعين اعتمدا على رموز قابلة للاستبدال مرتبطة بقيمة ١:١ لرموز NFT المحجوزة، مما جعلها عرضة لنفس طريقة الهجوم.
اختراق بعد اختراق
حوادث Flooring وAsterix تضيف إلى سلسلة طويلة من الإخفاقات الأمنية التي تضرب Web3. كما لاحظت Cryptopolitan في تقارير سابقة، الخسائر المالية الفلكية في أبريل تطورت إلى عدد أكبر من الحوادث الفردية في مايو، حيث وصلت إلى ٦٠ حادثة أمنية مؤكدة بإجمالي خسائر ٦٨.٣ مليون دولار حسب Certik. PeckShield أرجع خسائر بقيمة ٣٤٠.٧ مليون دولار إلى ١٤ استغلالًا للجسور والنقل عبر السلاسل حتى ١ يونيو.
البروتوكولات المشتقة تسبب مشاكلها الخاصة. عندما تنسخ المشاريع اللاحقة الكود دون تدقيقه، يمكن تكرار ثغرة واحدة في الكود الأساسي عبر مستويات متعددة، كما حدث في حالة Flooring وAsterix الآن. قالت Yuga Labs إن رموز NFT المنقذة ستعاد بمجرد أن يكمل مطورو Flooring Protocol التصحيح. حذر 0xQuit المستخدمين من إيداع رموز NFT جديدة في Flooring بينما الثغرة مفتوحة. بالنسبة لحاملي Asterix، خسارة ٤٠ ألف دولار أصغر حجمًا، لكن الفريق لم يكشف بعد عن إمكانية أي استرداد.
أسئلة شائعة
س: كيف حدث اختراق Flooring Protocol وانتشاره إلى Asterix؟
ج: استغل المهاجمون ثغرة في نظام المحاسبة من نوع BT404 في Flooring Protocol، مما سمح بإنشاء رصيد غير محدود من الرموز القابلة للاستبدال. لأن Asterix كانت نسخة مشتقة من نفس الكود، تكرر نفس الهجوم عليها.
س: كم كانت الخسائر وهل تم استرداد أي أموال؟
ج: الخسائر في Flooring قدرت بأكثر من ٩٠٠ ألف دولار، لكن الباحثين الأمنيين استردوا حوالي ٥٠٠ ألف دولار. في Asterix، الخسائر كانت حوالي ٤٠ ألف دولار، ولم يتم الإعلان عن أي استرداد حتى الآن.
س: كيف أحمي نفسي من ثغرات في البروتوكولات المشتقة؟
ج: تجنب التفاعل مع البروتوكولات غير المدققة أمنيًا، خاصة المشتقات من كود غير مفحوص. ابحث دائمًا عن تقارير التدقيق الأمني قبل استخدام أي منصة، وتابع إعلانات الفريق الرسمية للتحذيرات.
