يؤدي اختراق مجمع Rubic DEX إلى سرقة 1.4 مليون دولار من أموال المستخدمين
تم اختراق بروتوكول التمويل اللامركزي عبر السلاسل (DeFi)، مما أدى إلى اختلاس الأموال المخزنة في عناوين المستخدمين ونقلها إلى المتسللين.
نصح منشئو البروتوكول مستخدميهم بإلغاء ترخيص العقد من خلال أداة الإلغاء.
حيث يوضح موضوع تويتر من قبل شركة PeckShield للأمن السيبراني للبلوكتشين أن ثغرة أمنية في بروتوكول Rubic أدت إلى خسارة أموال بقيمة 1.41 مليون دولار مباشرة من المحافظ التي سمحت بعقودها الذكية.
تلقى عنوان المستغل الأموال من التبادل اللامركزي Uniswap (DEX) في المعاملات التي تنطوي على عملة مستقرة بالدولار الأمريكي (USDC).
كما أوضح PeckShied أن الاختراق أصبح ممكنًا بسبب إضافة USDC عن طريق الخطأ إلى أجهزة التوجيه المدعومة. علاوة على ذلك، فإن “نقص التحقق في ruterCallNative” سمح أيضًا باستخدام العقد الضار.
يشير تحليل سريع ذكي للعقد بمساعدة chatGPT إلى أن وظيفة ruterCallNative تحتوي على العديد من نقاط الضعف المحتملة، بما في ذلك المدخلات غير الصالحة لمعلمات “_params” و”_data”.
.. قد تسمح هذه للمهاجمين بتمرير مدخلات ضارة قد تؤدي إلى سلوك غير صحيح أو غير مقصود.
علاوة على ذلك، فإن معلمة “_gateway” التي تم تمريرها إلى الوظيفة غير مقيدة، مما قد يسمح للمهاجم بإنشاء عقد وتنفيذه بواسطة عقد RubicProxy.
في الواقع، نشر المهاجم عقدًا ذكيًا مخصصًا تم استخدامه في الهجوم.
يُظهر الرمز الثانوي الذي تم فك ترميزه 337 سطرًا من التعليمات البرمجية التي سمحت للمهاجم بتنفيذ الهجوم بأكبر قدر ممكن من الكفاءة.
كما تلقى عنوان المخترق أولاً تحويلاً بقيمة 1،161.55 ethereum (ETH) ونقل آخر بقيمة 26.88 ETH،
وكلاهما من بروتوكول Uniswap الذي يستحوذ على USDC حصريًا ويستبدله بالإيثريوم المغلف (WETH).
تم إرسال كل هذا WETH لاحقًا إلى خلاط على السلسلة وكيان Tornado Cash الخاضع للعقوبات لإخفاء هوية الأموال التي تم الحصول عليها بطريقة غير مشروعة.
يُظهر التحليل على السلسلة أن ما قيمته 1.45 مليون دولار من المعاملات الواردة المرسلة إلى خدمة إخفاء هوية العملة نشأت من عنوان المتسلل.
بقيمة إجمالية واردة للخدمة تبلغ حوالي 2.9 مليون دولار. بمعنى آخر، تم إرسال حوالي نصف الأصول المرسلة إلى الخلاط اليوم من قبل المستغل.
على الرغم من أن أموال المخترق تمثل جزءًا كبيرًا من حجم المعاملات الواردة للخدمة، إلا أن إخفاء هويتهم لا يزال كبيرًا.
قد يكون الإيداع من بين عمليات السحب البالغة 2 مليون دولار من Tornado Cash التي تمت معالجتها اليوم أو من بين الأصول التي لا تزال مودعة في العقد الذكي بقيمة 174 مليون دولار.
حول Tornado Cash
هو بروتوكول DeFi غير قانوني الآن يسمح للمستخدمين بإجراء تحويلات مجهولة على ببلوكتشين إيثيريوم.
ويستخدم البروتوكول البراهين الصفرية المعرفة (ZK-proofs) لإخفاء عناوين المدخلات والمخرجات للمعاملات. يصعب على الأطراف الثالثة تحديد هوية الأطراف المشاركة في المعاملة أو الغرض المحدد من التحويل.
