للمرة الثانية خلال أيام… اختراق بروتوكول bZx للتمويل اللامركزي والخسائر تقارب المليون دولار
يبدو أن المشاكل والإختراقات الأمنية عندما تصيب مشروع ما، تأتي تباعا.
بعد أن سبق وتطرقنا في موقع بيتكوين العرب لموضوع: اختراق بروتوكول bZX للتمويل اللامركزي وسرقة الآلاف من الدولارات
ليتم استغلال بروتوكول الإقراض bZx للمرة الثانية بعد مرور بضع أيام فقط عن الإختراق الأول.
الخسارة المقدرة هذه المرة هي 2388 ايثيريوم، أي ما يقارب 645000 دولار.
علّق السيد “كايل كيستنر” المؤسس المشارك لـ bZx على قناة التيليجرام الرسمية للشركة بالقول:
يبدو أن هذا الهجوم كان بمثابة هجوم وتلاعب بأوراكل
يشير مراقبو السوق إلى أن هذه الصفقة مشبوهة في الهجوم الأخير.
أضاف “كيستنر”:
يمكننا تحييد هذا كما فعلنا في المرة الأخيرة.
في وقت مبكر من يوم أمس، نشرت bZx بعد تعرضها للهجوم الأول أنها فقدت حوالي 1193 ايثيريوم والتي تبلغ قيمتها حوالي 298000 دولار.
في ضوء أحدث المعاملات المشبوهة، أوقفت bZx بروتوكولها مرة أخرى.
ووفقا للمصدر فإن المعاملة حدثت باستخدام القروض السريعة والتداول على “Synthetix”، هذا ولا يؤثر نظام Synthetix على الرغم من أنه ينطوي على sUSD.
بعد ظهر يوم أمس الثلاثاء، قال فريق bZx إنه يعمل مع فريق التطوير “Chainlink” ويقومون بالإسراع بإضافة أوراكل إلى عملهم.
كتب فريق bZx في تغريدة، مايلي:
بعد إضافة هذا، سننتقل عبر الإنترنت بوظائف محدودة للغاية:
الإقراض، إلغاء الإغلاق، إغلاق المراكز / القروض.
لن تتوفر وظائف جديدة وقروض جديدة.
آلية الإختراق؟
إليكم الآلية الظاهرة للهجوم، كما أوضحها “لاري سيرماك” مدير أبحاث “بلوك”:
حصل المهاجم على قرض سريع بقيمة 7500 ايثيريوم، واشترى 3518 ايثيريوم من قيمة SUSD مقابل ما يقرب من 1 دولار وأودعها في وقت لاحق إلى bZx كضمان.
ثم استخدم 900 ايثيريوم لتسويق شراء sUSD على Kyber و Uniswap وبالتالي التلاعب بسعر SUSD بأكثر من 2 دولار.
سمح ذلك للمهاجم بالحصول على قرض أكبر مما كان يفترض به لأن الضمان بدا أكبر منه.
مع هذه الضمانات، استعار المهاجم 6791 ايثيريوم آخر على bZx واستخدمه (بالإضافة إلى الرصيد المتبقي من الايثيريوم) لسداد قرض الفلاش الأصلي.
في النهاية، حقق المهاجم صافي أرباح بقيمة 2388 ايثيريوم (حوالي 645،000 دولار) فيما خسر بروتوكول BZx حوالي 1.8 مليون دولار بينما حقق تجمع sUSD حوالي 1.1 مليون دولار.
صرح “روبرت لشنر” مؤسس بروتوكول إقراض DeFi منافس لـbZx، قائلا:
الأمن هو الأولوية القصوى للمنتج المالي.
لقد أثبت فريق bZx مرارا أنه غير قادر على حماية أموال المستخدمين، وعليه إيقاف العمليات على الفور حتى تتم مراجعة النظام وبشكل كامل.
اقرأ أيضا:
كيف استطاع هذا الهاكر استغلال خطأ تقني لسرقة أكثر من مليون ريال من مشروع كريبتو؟
اختراق أحد منصات تداول العملات الرقمية و سرقة معظم أموال المستخدمين!