اختر منطقتك 
تم الإبلاغ عن الثغرة الأمنية التي أدت إلى استغلال ZetaChain مؤخرًا من خلال برنامج مكافأة الأخطاء قبل الهجوم، ولكن تم رفضها باعتبارها سلوكًا مقصودًا.
وفي تقرير ما بعد الوفاة الذي نُشر يوم الأربعاء، قال الفريق إن الحادث دفع إلى مراجعة كيفية تعامله مع عمليات تقديم مكافآت الأخطاء، وخاصة التقارير التي تتضمن ناقلات هجوم متسلسلة قد تبدو غير ضارة في عزلة ولكنها خطيرة مجتمعة.
كتب أحد المستخدمين على X: “تم الإبلاغ عن هذا الخطأ وتجاهلوه ببساطة. “هذه هي الطريقة التي تعمل بها برامج مكافأة الأخطاء مع هذه البروتوكولات حاليًا؛ فهي تحفز خسائر البروتوكول، وTVL، ورصيد المستخدم بدلاً من الدفع للباحث مقابل اكتشاف الخطأ وإصلاحه”.
خسرت شركة ZetaChain ما يقرب من 334000 دولار أمريكي بسبب هجوم متعمد يوم الأحد استهدف عقد البوابة عبر السلسلة الخاص بها. استنزفت هذه الثغرة الأموال عبر تسع معاملات على أربع سلاسل، بما في ذلك Ethereum وArbitrum وBase وBSC، وجميعها من محافظ تسيطر عليها ZetaChain. ولم تتأثر أموال المستخدمين.
متعلق ب: سرق قراصنة العملات المشفرة 17 مليار دولار على مدى السنوات العشر الماضية: DefiLlama
يستغل المهاجم عيوب التصميم الصغيرة
قالت ZetaChain في تقريرها بعد الوفاة إن المهاجم استغل ثلاثة عيوب في التصميم قد تبدو، بشكل فردي، بسيطة، ولكنها معًا فتحت الباب أمام استنزاف كامل. أولاً، سمحت البوابة لأي شخص بإرسال تعليمات عشوائية عبر السلسلة دون أي قيود. ثانيًا، على الطرف المتلقي، سيتم تنفيذ أي أمر تقريبًا على أي عقد، مع قائمة حظر ضيقة جدًا لدرجة أنها تفوت وظائف نقل الرمز المميزة الأساسية.
ثالثًا، تركت المحافظ التي استخدمت البوابة سابقًا أذونات إنفاق غير محدودة في مكانها ولم يتم تنظيفها مطلقًا. من خلال الجمع بين الثلاثة، طلب المهاجم ببساطة من البوابة نقل الرموز المميزة من محافظ الضحايا إلى محافظهم الخاصة، وامتثلت البوابة.
مصدر: زيتاشين
وقالت زيتا تشين في تقريرها بعد الوفاة: “لم يكن هذا هجومًا انتهازيًا”. قام المهاجم بتمويل محفظته من خلال Tornado Cash قبل ثلاثة أيام من الاستغلال، ونشر عقد تجفيف مصمم خصيصًا لهذا الغرض على ZetaChain وقام بحملة تسميم العناوين قبل زرعها في سجل المعاملات عبر عمليات نقل الغبار.
أضافت ZetaChain أنه يتم طرح التصحيح الذي يعمل على تعطيل وظيفة الاتصال التعسفي بشكل دائم على عقد الشبكة الرئيسية. قامت المنصة أيضًا بإزالة الموافقات غير المحدودة للرموز من تدفق الودائع الخاصة بها، واستبدالها بموافقات المبلغ المحدد من الآن فصاعدا.
متعلق ب: هاكر أخلاقي يعترض 2.6 مليون دولار من ثغرة Morpho Labs
يزيد معدل نجاح استغلال AI DeFi
اختبرت دراسة جديدة أجرتها a16z ما إذا كان وكيل الذكاء الاصطناعي الجاهز يمكنه تجاوز تحديد ثغرات التمويل اللامركزي وإنتاج عمليات استغلال فعالة بالفعل. باستخدام Codex الخاص بـ OpenAI ضد مجموعة بيانات مكونة من 20 حادثة تلاعب حقيقية بأسعار الإيثريوم، قام الباحثون بتشغيل الوكيل في بيئة معزولة مع عدم إمكانية الوصول إلى بيانات المعاملات المستقبلية ولا توجد إرشادات حول كيفية عمل الهجمات. نجح الوكيل في 10٪ فقط من الحالات.
ومع ذلك، عندما قام الباحثون بتغذية العميل بالمعرفة المنظمة حول أنماط الهجوم الشائعة واستغلال سير العمل، قفز معدل النجاح إلى 70%.
مجلة: كيفية إصلاح التداول الداخلي المشتبه به في Polymarket وKalshi
