تعرضت روديو فاينانس (Rodeo Finance) منصة التمويل اللامركزي القائم على اربيتروم (Arbitrum) مؤخرًا لاختراق كبير نتج عنه سرقة سيولة بقيمة 1.5 مليون دولار. حيث استغلت الجهات الخبيثة نقاط الضعف في العقود الذكية للبروتوكول للحصول على وصول معقد غير مصرح به واستنزاف الأموال.
وقعت شركة Rodeo Finance ضحية لهجوم معقد، حيث تم اختراق بروتوكول التمويل اللامركزي (DeFi) المستند إلى بلوك تشين اربيتروم (Arbitrum) وسرقة 1.53 مليون دولار، أمس 11 يوليو. وسحب المتسللون 810 إيثر (ETH) من خرينة المنصة.
موجة الاختراقات الالكترونية تضع سمعة منصات التمويل اللامركزي على المحك
نجح المتسللون في اختلاس ما يزيد عن 1.5 مليون دولار من أصول العملة المشفرة (810 ايثر) من بروتوكول التمويل اللامركزي القائم على شبكة اربيتروم. مما تسبب في أضرار مالية كبيرة للبروتوكول ومستخدميه. وبذلك غرق قطاع التمويل اللامركزي في ضعف الأمن السيبراني وهجمات المتسللين!
تم تنظيم عملية الاختراق الذي تعرض له روديو فاينانس من خلال ثغرة في التعليمات البرمجية داخل Oracle Rodeo. كما قالت المنصة أن المتسلل قد سرق إجمالا 1.7 مليون دولار. لكن المنصة تمكنت من استرداد 810 آلاف دولار من USDC التي تركها المهاجم في مزرعة Rodeo المستخدمة في الهجوم. بالتالي، تم تقليص حجم الخسارة إلى 880 ألف دولار من الإيثر.
"تمت سرقة الايثر بحوالي 880 ألف دولار من مجموعة الإقراض في ذلك الوقت (إجمالي 1.7 مليون ولكن تم استرداد 810 آلاف دولار)، ...، هذا يعني أنه لا يمكن سرقة أموال USDC التي اقترضتها من مجموعة الإقراض، فقد تُرك حوالي 810 آلاف دولار في مزرعة Rodeo المستخدمة في الهجوم، والتي تمكنا من استردادها."
تغريددة منصة روديو على تويتر
كما أشارت Rodeo Finance إلى أنها ملتزمة بإصلاح المشكلة وأنها استعانت خبراء أمنيين متعددين لفحص الحادث. وكخطوة أولى نحو فهم الأمور، قامت المنصة بوضع البروتوكول في حالة "الإيقاف المؤقت لحماية الأموال". كما أشارت أنه سيظل متوقفًا حتى يتم الانتهاء من خطة الإصلاح وتنفيذها.
فيما يتعلق بالثغرة التي وجدها المتسلل إلى البروتوكول. فقد قالت شركة تتبع أمان بلوك تشين، باكتشيلد PeckShield، أن الهجوم كان معقدًا وتم بسبب أن إحدى أدوات أوراكل التي تعطي منفذًا لمجمعات Camelot's uniswap v2 لم تكن مؤمنة بما فيه الكفاية.
حيث، استغل المهاجم إستراتيجية تتضمن معالجة أوراكل لمتوسط السعر المرجح بالوقت (TWAP). وهي أداة تستخدمها بروتوكولات DeFi لحساب لتحديث سعر الأصل. ومع ذلك، فقد تم تحديد هذه الطريقة على أنها ثغرة أمنية محتملة.
بعد تنفيذ الهجوم ، سارع المخترق إلى إرسال المسروقات من ايثيريوم (150 ETH) إلى خلاط العملات الرقمية تورنادو كاش Tornado Cash، وهي خدمة خلط شائعة تُستخدم لإخفاء مسار المعاملة. واستبدل 285 ETH.
Trusted
إخلاء مسؤولية
جميع المعلومات المنشورة على موقعنا الإلكتروني تم عرضها على أساس حسن النية ولأغراض المعلومات العامة فقط. لذا، فأي إجراء أو تصرف أو قرار يقوم به القارئ وفقاً لهذه المعلومات يتحمل مسؤوليته وتوابعه بشكل فردي حصراً ولا يتحمل الموقع أية مسؤولية قانونية عن هذه القرارات.
