استنزاف Aztec Connect بمبلغ 2.1 مليون دولار بعد استغلال للتحقق

تم تفريغ منصة آزتك كونيكت اللامركزية للتمويل (DeFi) والتي كانت مُهملة، بما يقارب 2.1 مليون دولار يوم الأحد، بعد أن استغل مهاجم ثغرة في دالة التحقق الخاصة بها. أكدت آزتك لابس أن الحادث أثّر في عقد المنصة الذكي، لكنها أشارت إلى أن المستخدمين والأصول على شبكة آزتك الحالية لم تتأثر. استهدف الاستغلال نسخة قديمة من نظام آزتك تم إطلاقه في 2022 وأُهمل في مارس 2023، ما يسلط الضوء على مخاطر أمنية مستمرة في العقود الذكية غير القابلة للتغيير (immutable) والتي تحتفظ بقيمة يمكن الوصول إليها حتى بعد انتهاء التطوير الفعّال.

المهاجم استغل عدم تطابق التحقق والتسوية

حددت شركة الأمن السيبراني BlockSec السبب الجذري على أنه عدم تطابق بين كيفية التحقق من المعاملات في آزتك كونيكت وكيفية تسويتها على شبكة إيثريوم (Ethereum). ووفقاً لـ BlockSec، فإن المعاملات “لم تكن مرتبطة فعلياً بمجموعة المعاملات المفروضة بواسطة إثبات ZK” على عقد آزتك كونيكت. وهذا سمح لمسار التحقق ومنطق التسوية على إيثريوم “بتفسير قائمة المعاملات بشكل مختلف”.

أتاحت هذه الضعف للمهاجم وضع معاملات يمنح فيها العقد أرصدة بقيمة دون التحقق منها بشكل صحيح على إيثريوم. ثم خلقت تلك الإعتمادات أرصدة غير مدعومة يمكن سحبها لاحقاً. كرر المهاجم هذه العملية سبع مرات عبر سبعة أصول مختلفة.

سرقة سبعة أصول تشمل 909 ETH و270,000 DAI

تضمنت الأصول المسروقة 909 Ether و270,000 Dai و167 من ETH المكدس المغلف (wrapped staked ETH)، إضافة إلى عدة عملات رقمية أخرى. قالت آزتك لابس إن نحو 2.1 مليون دولار تم تحويلها من عقد المنصة الذكي. أثّر الاستغلال في آزتك كونيكت، التي أُطلقت في 2022 كجسر DeFi وتم إيقاف إيداعاتها في مارس 2023 بعدما وجّه الفريق موارده إلى شبكة آزتك من الجيل التالي.

عقود غير قابلة للتغيير منعت التدخل الإداري

صرحت آزتك لابس: “لا تمتلك آزتك لابس مفاتيح إدارية أو سيطرة على النظام؛ ولا يمكن إيقافه مؤقتاً أو ترقيته من طرفنا.” وقال مطور التشفير Param إن عقود آزتك كونيكت الذكية أصبحت “غير قابلة للتغيير بالكامل” ولم تعد قابلة للترقية أو الإيقاف المؤقت. وبدون صلاحيات إدارية، لم يتمكن الفريق من إيقاف عمليات السحب أو إصلاح منطق التحقق أو تجميد الأرصدة المكشوفة بعد بدء النشاط المشبوه.

استغلالات DeFi في يونيو بلغت ما لا يقل عن 44 مليون دولار

تم سرقة ما لا يقل عن 44 مليون دولار حتى الآن خلال هذا الشهر عبر عدة استغلالات، وفقاً لبيانات DeFiLlama. كانت أكبر حادثة في يونيو اختراقاً لمفتاح خاص في Humanity Protocol، حيث تم فقد 30 مليون دولار في 8 يونيو. كما خسر Syscoin Bridge 8 ملايين دولار في استغلال “إثبات كاذب” في اليوم السابق. ووفقاً للفريق، لم تتأثر شبكة آزتك الحالية باستغلال آزتك كونيكت.

أسئلة وأجوبة

ما الذي تسبب في استغلال آزتك كونيكت يوم الأحد؟
استغل مهاجم ثغرة في دالة التحقق لدى آزتك كونيكت، حيث لم تكن المعاملات المُتحقق منها مرتبطة فعلياً بمجموعة المعاملات المفروضة بواسطة إثبات ZK، ما سمح لمسار التحقق ومنطق التسوية على إيثريوم بتفسير قائمة المعاملات بشكل مختلف.

كم تم سرقته من آزتك كونيكت وما الأصول التي تم أخذها؟
تم تفريغ ما يقارب 2.1 مليون دولار من عقد آزتك كونيكت، بما في ذلك 909 Ether و270,000 Dai و167 من ETH المكدس المغلف، إضافة إلى عدة عملات رقمية أخرى عبر سبعة أصول مختلفة.