أفادت التقارير أنtracAztec Connect الذكي قد خسر 2.1 مليون دولار بعد أن استغل مهاجم ثغرة أمنية في نظام التحقق الخاص بجسر الخصوصية، والذي تم إيقافه قبل ثلاث سنوات. ويكمن التحدي في هذا الهجوم في أن الثغرة الأمنية عصية على الإصلاح، وفقًا لفريق Aztec Labs.
تضمنت الأموال المسروقة ما يقرب من 909 إيثيريوم، و270,000 داي، و167 دبليو إس تي إيثيريوم، وفقًا لشركة أمن البلوك تشين BlockSec، التي رصدت المعاملة المشبوهة من خلال نظام المراقبة Phalcon الخاص بها.
قبل أن توقف شركة Aztec Labs دعمها في مارس 2023، Aztec Connect عبارة عن جسر zk-rollup يتيح للمستخدمين التفاعل مع DeFi بروتوكولات Aave وLido مع حماية تفاصيل المعاملات من خلال إثباتات المعرفة الصفرية. توقفت Aztec Labs عن تشغيل برنامج التسلسل الخاص بها بحلول مارس 2024.
ارتفع سعر رمز $AZTEC بأكثر من 5% حتى وقت صدور تقرير Cryptoplitan.
ما هو الخلل الذي مكّن المهاجم من استغلال ثغرة Aztec Connect؟
كان الخلل ناتجًا عن عدم تطابق يتعلق بالحدود بين مجموعة المعاملات التي تم التحقق منها ومعالجة تسوية L1 وفقًا لتحليل BlockSec Phalcon على X.
ووفقاً لشركة الأمن CertiK، فإن الخلل كان يتمثل في عدم اكتمال التحقق من صحة بيانات الإثبات المقدمة.
كانت إحدى وظائفtracتتحقق فقط من بداية الإثبات بينما لم يتم التحقق من تعليمات تحويل الرموز المضمنة في أماكن أخرى، وهذا ما سمح للمهاجم بالتلاعب بعمليات السحب.
ما هو رد شركة Aztec Labs على هذا الاستغلال؟
أكدت شركة Aztec Labs أنها تُجري تحقيقًا في الأمر، لكنها أوضحت أنه لا تملك آلية للتدخل. وكتب الفريق على منصة X: "تم إيقاف دعم Aztec Connect منذ ثلاث سنوات. لا تملك Aztec Labs أي مفاتيح إدارية أو سيطرة على النظام؛ ولا يمكننا إيقافه أو ترقيته" .
وفي بيان منفصل، مؤسسة أزتيك على منصة X، ذكرت فيه أن المؤسسة أكدت أن الحادثdent له أي صلة بأي عقود ذكيةtracبرمز $AZTEC ERC-20 أو شبكة أزتيك الحالية، والتي تركز على العقود الذكيةtrac.
وكتبت مؤسسة أزتيك: "تم إيقاف دعم Aztec Connect منذ 3 سنوات، ولم تعد Aztec Labs تحتفظ بأي سيطرة على النظام".
عندما أوقفت شركة Aztec Labs دعم الجسر، تخلت عن مفاتيح الإدارة الخاصةtracنظرًا لكونه بروتوكولًا يركز على الخصوصية. ومع ذلك، فإن المقابل هو أنه بمجرد فقدان المفاتيح، لا يمكن لأحد نشر إصلاح عند ظهور ثغرة أمنية.
ما هي تكلفة استغلال الثغرة؟
وفقًا لبيانات DefiLlama ، احتوت Aztec Connecttracعلى حوالي 2.15 مليون دولار من القيمة الإجمالية المقفلة قبل الهجوم، وكانت هذه هي الأموال التي تمكن المستغل من الوصول إليها.
كانت الأموال غير مراقبة، ولم يفعل الفريق شيئًا حيالها، لأن أي أصول متبقية بداخلها تعتمد كليًا على سلامة الكود الأصلي.
كما أن ثغرة Aztec Connect تسلط الضوء على المخاطر المتكررة التي يتعرض لها المستخدمون الذين يتركون أموالهم فيtracالقديمة بعد انتقال المشروع.
تتواصل إنجازات شهر يونيو في التزايد
لقد انقضى نصف شهر يونيو بالفعل، ومع تزايد عمليات الاختراق، يبدو أن بروتوكولات العملات المشفرة لا تنال أي راحة. شهد شهر مايو أيضًا العديد من عمليات الاختراق، وتشهد المنصات التي تم إيقاف دعمها مؤخرًا زيادة في الهجمات.
Cryptopolitan تقارير عن عمليات استغلال استهدفت Gnosis Pay و TesseraDAO في الأيام الأولى من شهر يونيو، حيث خسرت TesseraDAO وحدها 2.5 مليون دولار في هجوم سك وتفريغ على BNB Chain.
بحسب DeFiبيانات، فقد وصلت الخسائر التراكمية الناتجة عن عمليات الاستغلال في يونيو إلى ما يقرب من 43.93 مليون دولار حتى منتصف الشهر.
إذا كنت تقرأ هذا، فأنت متقدم بالفعل. ابقَ متقدماً من خلال نشرتنا الإخبارية.
