في نهاية الأسبوع، كانت منصة التبادل Uniswap ومنصة الإقراض Lendf.me ضحية هجوم إلكتروني كبير نتج عنه سرقة أكثر من 25 مليون دولار من العملات المشفرة. لا يزال التحقيق جاريا، لكن المعلومات تشير بالفعل إلى أن الهجومين مرتبطين بشكل مباشر.
سرقت أكثر من 24.5 مليون دولار من Lendf.me
لتحقيق أهدافهم، نفذ المتسللون على الأرجح ما يسمى هجوم إعادة الدخول reentrancy. دون الخوض في تفاصيل فنية كثيرة، تسمح هذه الطريقة للمتسللين بسحب عدد كبير جدًا من الأموال بشكل متكرر قبل رفض أو قبول المعاملة الأولى. يعتمد ذلك على الإرسال المتتالي لطلبات الحصول على أموال أثناء تزوير المعلومات التي يتم إرسالها. ثم يتم تحويل الأموال مباشرة إلى حسابات أخرى.
تم إغلاق موقعي الويب مؤقتًا لمنع وقوع هجمات أخرى مماثلة. كما قامت Tokenlon ، الشركة التي تقف وراء imBTC ، بتعليق رمزها ERC-777، وهو الرمز المستخدم في الهجمات، لنفس الغرض. ومع ذلك، أوضحت الشركة أن المعيار لم يكن ضحية لأي خرق أمني، على الأقل “على حد علمها“.
المنصتين Uniswap و Lendf.me تستخدمان نفس البروتوكول:
- بروتوكول Lendf.me – بروتوكول التمويل اللامركزي (DeFi) الذي طورته مؤسسة dForce لدعم عمليات الإقراض على منصة إيثريوم.
- imBTC – رمز مميز (عملة) يتم تشغيله على منصة إيثريوم ويتم تقييمه بمعدل 1:1 باستخدام عملة البيتكوين المشفرة.
- ERC-777 – إحدى التقنيات الأساسية لسلسلة Ethereum blockchain التي تهدف إلى دعم العقود الذكية (يعمل كل من Lendf.me و imBTC كعقود ذكية على منصة إيثريوم).
تشير الفرضيات الأولى إلى أن المتسللين كانوا يعتمدون على استغلال عام تم نشره في يوليو 2019 على GitHub بواسطة OpenZeppelin ، وهي شركة تركز نشاطها على عمليات المراجعة الأمنية للمنصات المرتبطة بالعملات المشفرة.
وفقًا للمعلومات الحالية، خسرت Lendf.me أكثر من 24.5 مليون دولار في بيتكوين و إيثريوم مقابل 300000 إلى 1.1 مليون دولار لـ Uniswap.