أحدث استغلالٌ لعقود إقراض غير مُوثَّقة على بلوكتشين Base صدمةً كبيرةً بعد أن أدى إلى خسارةٍ تُقدَّر بنحو مليون دولار. كان الحادث أولًا وذكرت تم نشر هذا التحديث بواسطة شركة Cyvers Alerts المتخصصة في أمن blockchain في 25 أكتوبر، والتي لجأت إلى منصة التواصل الاجتماعي X لمشاركة التحديث.
وبحسب موقع Cyvers، استغل المهاجم خللًا خطيرًا في العقود الذكية المتعلقة بـ Wrapped Ether (WETH).
ثغرة في قاعدة بلوكتشين: كيف تطورت؟
يُقال إن الهجوم بدأ بمعاملة واحدة، حيث استولى المهاجم على ما يقارب 993,534 دولارًا أمريكيًا عن طريق التلاعب ببيانات أسعار العقد. هذا الخلل، الذي ذُكر سابقًا، سمح للمهاجم بالتلاعب بقيمة الأصول على سلسلة الكتل Base، مما ساعده على الفرار بالأموال المسروقة بسهولة.
تم تحويل معظم الأموال التي نقلها المهاجم في البداية إلى شبكة إيثريوم. بعد ذلك، أودع المهاجم حوالي 202,549 دولارًا أمريكيًا في عملة تورنادو كاش في محاولة لإخفاء آثاره. وسُرقت أموال إضافية بلغ مجموعها 455,127 دولارًا أمريكيًا باستخدام نفس الثغرة.
في غضون ذلك، عزا هاكان أونال، كبير محللي الأمن في شركة "سايفرز أليرتس"، الاستغلال الأخير إلى ضعف نظام أوراكل العقود المتضررة، مما سهّل على المهاجم إحداث تغيير في الأسعار والاستفادة من القيمة المُتلاعب بها.
واقترح أونال بعد ذلك أنه يمكن استخدام "أداة أوراكل أكثر موثوقية وتنوعًا ذات سيولة أعلى" لتجنب التلاعب بالأسعار ومنع وقوع هجمات مماثلة في المستقبل، وخاصة "بالنسبة للأصول مثل WETH".
المشاكل الأمنية المتعلقة بالتمويل اللامركزي (DeFi)
ويأتي الاختراق الأخير بمثابة تذكير بالمخاطر المرتبطة بالتمويل اللامركزي (الصدمة) المنصات. وهذا ينطبق بشكل خاص عندما تكون بروتوكولات الأمان المتعلقة بالعقود الذكية ضعيفة.
ولهذه الأسباب، يقترح الخبراء أن تكون منصات DeFi مجتهدة في التحقق من عقود الإقراض.
ومن خلال تحسين بروتوكولات الأمان، ستتمكن هذه المنصات من حماية أموال المستخدمين بشكل أفضل ومنع تكرار أحداث مماثلة لتلك التي وقعت للتو في Base.
ولا يزال المهاجم مجهول الهوية ولم يتم تعقبه بعد بعد السرقة الكبرى.
