استغلال هاكر لخطأ تقني لسرقة أكثر من مليون ريال من مشروع كريبتو؟
استغل أحد المتداولين بروتوكولات مختلفة في مجال التمويل اللامركزي (DeFi) ليحقق صافي أرباح ضخمة بلغت 350،000 دولار.
إذ وبتنفيذ مجموعة ذكية من التعليمات تنفذ جميعها في معاملة واحدة كبيرة تمكن شخصا من الاستفادة من نقاط الضعف الحالية في نظام DeFi البيئي لتحقيق مكاسب خاصة به.
فمن خلال العديد من الأدوات المالية اللامركزية، وجرعة صغيرة من التلاعب بالأسعار، تمكن من الحصول على الكثير من الإيثيريوم.
قام “جوليان بوتلوب” مؤسس شركة DeFi الاستثمارية “Stake Capital” بتجميع هذه الصورة لإظهار مدى تعقيد الصفقة متعددة الطبقات، محاولا توضيح ما حدث:
~353k net profit using 'Sophisticated' arb on Fulcrum @bzxHQ
1.he took $2.7M Flash loan.@dydxprotocol 10kETH
2.put 5.5k ETH @compoundfinance, borrowed 112 WBTC
3.short WBTC on bzx #sETHwBTC5x
4.dumped 112 wBTC on #KyberUniswap to trigger short(oasis?)
5.Paid back loan
6.profit https://t.co/NRHM7NnAGK pic.twitter.com/11YWpUZe0o— Julien Bouteloup (@bneiluj) February 15, 2020
حيث حدد الهاكر قرضا سريع بقيمة 10،000 ETH وقد يكون هو السبب في ذلك.
ثم أودع نصفها إلى منصة الإقراض المركبة لاستعارة بيتكوين.
وكان الباقي ضمانا على البيع على المكشوف – المراهنة على انخفاض السعر – وذلك على منصة التداول بالهامش Fulcrum.
ثم باع ما بحوزته من بيتكوين على منصة تبادل لامركزية Uniswap.
انخفض السعر، لذلك قام المتسلل بتحصيل المكسب بربح وسداد القرض الأولي.
ولكن ليس ذلك فقط ما حصل حيث اكتشف المتسلل كيف يمكن استخدام مجموعة متنوعة من أدوات DeFi معا لتحقيق أرباح غير أخلاقية إلى حد ما.
وهو ما أوضح مدى مركزية بعض أدوات التمويل اللامركزي DeFi.
بالأمس نشرت bZx، التي تشغل بروتوكول Fulcrum، تحديثا للموقف وقالت إن أيا من المستخدمين على منصتها لم يفقدوا أي أموال.
من جهتنا في موقع بيتكوين العرب أشرنا إلى ذلك في الموضوع:
اختراق بروتوكول bZX للتمويل اللامركزي وسرقة الآلاف من الدولارات
Funds are SAFU:
1/*All users have ZERO losses*. Last night there was a widely reported attack that took place against our protocol. From the perspective of the protocol, someone simply took out a loan. From the perspective of the lender, this loan is like any other.
— bZx (@bzxHQ) February 15, 2020
وأفادت bZx في التغريدة أعلاه بما معناه:
جميع المستخدمين لديهم خسائر صفر.
الليلة الماضية كان هناك هجوم على نطاق واسع وقع ضد بروتوكولنا.
من وجهة نظر البروتوكول، شخص ما أخذ قرض ببساطة.
من وجهة نظر المقرض هذا القرض هو مثل أي قرض آخر .
ومضت المنصة لتقول إن المهاجم ترك 600000 دولار من بيتكوين ملفوفة في المنصة.
وهي تخطط لأخذ هذه الأموال وتوزيعها على المستخدمين الآخرين في المنصة.
ولكن للقيام بذلك، سوف تحتاج إلى استخدام “المفتاح الخاص”.
حيث تحدثت حول ذلك بالقول:
يوجد حاليا 600 ألف من ضمانات wBTC التي تركها المهاجم.
سنستخدم هذا ونوزع السيولة إلى أصحاب iETH الحاليين.
سيتم ذلك باستخدام مفتاح المشرف الخاص بنا.
هذا قرار صعب للغاية بالنسبة لنا.
بشكل أساسي، يتم إدخال مفتاح المسؤول هذا في البروتوكول ويسمح لـ bZx بالتحكم في أي من العقود الذكية – حيث يتم الاحتفاظ بالأموال – كحل أخير.
الغرض من مفتاح المسؤول هو بالتحديد في إحدى هذه اللحظات، حيث حدث خطأ ما وهناك الكثير من المال على المحك.
لكن مفتاح المسؤول هو دليل على وجود نقطة مركزية للفشل وأن على المستخدمين الوثوق بالفريق الذي يقف وراء المنصة حتى لا تسرق أموال الجميع.
بالنظر إلى أن الغرض الكامل من DeFi هو إزالة الوسيط، لكن يبدو أن هناك نقطة ضعف كبيرة إلى حد ما في bZx.
ليس من المستغرب أن بروتوكولات DeFi تواجه بعض الفشل في عملها.
أكبر تجربة يمكن تذكرها ما حدث مع DAO الايثيريوم الذي احتوى في مرحلة ما على ما يقرب من 14 ٪ من كامل المعروض من الايثيريوم وتعطل بسبب خطأ في سطرين من الشفرة.
نتيجة لذلك، تمت إعادة كتابة كامل سلسلة بلوكشين الايثيريوم وحدث الإنقسام بحيث يمكن للجميع استرداد أموالهم.
لكن الأمر واجه الكثير من الانتقادات.
هذه المرة، سوف تستخدم Fulcrum مفتاح المشرف الخاص بها، ولكن ومن خلال الكشف عن مدى كونها مركزية بالفعل فإنها تفتح الباب أمام العديد من الأسئلة.
اقرأ أيضا:
قائمة بأهم أحداث الايثيريوم في سنة 2019
معلومات جديدة تظهر حول عملية اختراق منصة “كريبتوبيا” … تعرف عليها