أعلنت وزارة العدل الأمريكية للتو عن تفاصيل الهجوم على KyberSwap - وهي منصة تمويل لامركزية (DeFi) لمشروع Kyber Network الذي طوره شعب فيتنامي. وبناء على ذلك، يُتهم المواطن الكندي أنديان ميدجيدوفيتش (22 عامًا) بالوقوف وراء الاختراق الذي حدث في نهاية عام 2023، مما تسبب في خسارة مستخدمي KyberSwap مبلغ 48.4 مليون دولار أمريكي.
كيف يقوم القراصنة بالهجوم
يتيح KyberSwap للمستخدمين تبادل العملات المشفرة أثناء جمعها جماعيًا في مجمعات السيولة. يتيح هذا للنظام توفير مجموعة من الرموز المتاحة للأشخاص للتبادل في أي وقت. استغل المتسللون ثغرة أمنية في العقد الذكي الخاص بـ KyberSwap، حيث اقترضوا مؤقتًا مبالغ كبيرة من رأس المال باستخدام أدوات "القرض السريع" ووضعوا هذه الأموال في مجمعات السيولة.
ثم قام بالتلاعب بالأسعار، ووضع صفقات محسوبة بدقة لخداع النظام، مما تسبب في خطأ في حساب البرنامج والسماح للمخترق بسحب أصول أكثر مما أودع.
ثغرة KyberSwap تكلف المستخدمين 48.4 مليون دولار
وفي لائحة الاتهام، وصفت وزارة العدل الثغرة بأنها "خطأ تقريبي" في خطوات الحساب. على سبيل المثال، فإن حد مبادلة الرمز هو 1,056,056,735,638,220,800,000، وقد وضع المخترق طلبًا بقيمة 1,056,056,735,638,220,799,999 (وحدة واحدة فقط أقل) - لا يزال ضمن الحد ولكن قاعدة التقريب جعلته بعض الوظائف لا تعمل تمامًا كما هو مصمم، مما يؤدي إلى ثغرات قابلة للاستغلال.
أجرى ميدجيدوفيتش 77 معاملة من هذا القبيل، وحصل على ما مجموعه 48.4 مليون دولار من محافظ المستخدمين. ثم استخدم ميدجيدوفيتش حيلًا مختلفة لمحو الآثار مثل تحويل الأموال إلى بورصات مختلفة أو وضعها في خلاط رموز.
وبالإضافة إلى تهم التعدي الجنائي، يُتهم ميدجيدوفيتش أيضًا بالابتزاز من خلال إرسال رسائل تطالب شبكة Kyber بمنحه سيطرة جزئية على الشركة مقابل إعادة بعض الأصول المسروقة. وكان المخترق البالغ من العمر 22 عامًا يعتقد أيضًا أنه نجح في خداع المحققين. ومع ذلك، عندما واجه مشاكل مع أداة إزالة الأثر، اتصل ميدجيدوفيتش بـ "مطور برامج" للحصول على المساعدة، ولم يكن يتوقع أن هذا الشخص كان عميلاً سريًا.
استجابة KyberSwap
وقال الرئيس التنفيذي لشركة Kyber Network، تران هوي فو، إنه على الرغم من أن الشركة لم تسترد جميع الأصول المفقودة بعد، إلا أنها أعادتها بشكل استباقي إلى المستخدمين. أجبر الحادث الخطير Kyber Network على إعادة الهيكلة في نهاية عام 2023، مما أدى إلى خفض 50٪ من موظفيها وإغلاق وظيفة KyberSwap Elastic مؤقتًا.
وصفتها وزارة العدل بأنها سرقة متطورة استغلت ثغرة في عقد ذكي DeFi. ويقول المراقبون إن الحادث بمثابة تذكير لجميع مشاريع DeFi بالتحقق باستمرار من نقاط الضعف، وتوخي الحذر مع أوامر التداول المعقدة، والحصول على خطة للاستجابة للمخاطر. مع تزايد شعبية DeFi، يُظهر هجوم Medjedovic كيف يمكن للمتسللين العثور على أصغر العيوب في المنطق الحسابي واستغلالها.
وأكد ممثل وزارة العدل الأمريكية أنه "حتى مع تعقيد DeFi، تمكنا من تعقب الشخص المسؤول عن السرقة الجماعية واعتقاله". وينظر إلى الحادث على أنه دليل على أن السلطات لا تزال قادرة على العثور على الجاني ومحاسبته أمام القانون، على الرغم من أن المهاجم يختبئ وراء العديد من خطوات الإخفاء.
[إعلان رقم 2]
المصدر: https://thanhnien.vn/tin-tac-canada-chiem-doat-hon-48-trieu-usd-tu-du-an-kyberswap-cua-nguoi-viet-185250205084915802.htm
تعليق (0)