أبلغت شركة Uranium Finance ، وهي منصة آلية لصناعة السوق على Binance Smart Chain ، عن حادث أمني أدى إلى خسارة حوالي 50 مليون دولار.
التغريد في يوم الأربعاء ، كشف اليورانيوم أن الثغرة استهدفت حدث ترحيل الرمز v2.1 وأن الفريق كان على اتصال مع فريق Binance Security للتخفيف من حدة الموقف.
(1/2)
️ تم استغلال ترحيل اليورانيوم ، العنوان التالي يحتوي على 50 مترًا ، الشيء الوحيد المهم هو الاحتفاظ بالأموال على BSC ، يرجى للجميع البدء في إرسال هذا العنوان إلى Binance فورًا مطالبتهم بإيقاف عمليات النقل.
– تمويل اليورانيوم (UraniumFinance) 28 أبريل 2021
وبحسب ما ورد استغل المخترق الأخطاء في منطق معدل توازن اليورانيوم الذي أدى إلى تضخيم رصيد المشروع بمقدار 100 ضعف.
وبحسب ما ورد سمح هذا الخطأ للمهاجم بسرقة 50 مليون دولار من المشروع. حتى وقت كتابة هذا التقرير ، لا يزال العقد الذي أنشأه المخترق يحمل 36.8 مليون دولار في عملة Binance (BNB) و Binance Dollar (BUSD).
تشمل الأموال المسروقة المتبقية 80 بيتكوين (BTC) ، و 1800 إيثر (ETH) ، و 26500 بولكادوت (DOT) ، و 5.7 مليون تيثر (USDT) بالإضافة إلى 638000 كاردانو (ADA) و 112000 يورو ، العملة الأصلية للمشروع.
تُظهر التفاصيل من BSCscan أن المهاجم قام بتبديل رموز ADA و DOT لـ ETH ، مما رفع مخزون Ether إلى حوالي 2400 ETH.
وفي الوقت نفسه ، نقل العقل المدبر المزعوم للسرقة بالفعل 2400 ETH ، بقيمة حوالي 5.7 مليون دولار باستخدام أداة خصوصية Ethereum Tornado Cash.
تُظهر البيانات من خدمة مراقبة سلسلة Ethereum Etherscan الأموال تتحرك في 100 مبلغ ETH مع جسر التبادل اللامركزي عبر السلاسل AnySwap المستخدم لترحيل الأموال من BSC إلى شبكة Ethereum.
وفقًا لـ Uranium ، فقد تواصل المشروع مع فريق Binance Security لمنع المتسلل من نقل المزيد من الأموال من نظام BSC البيئي.
لم ترد Binance على الفور على طلب كوينتيليغراف للتعليق. ورفض اليورانيوم التعليق.
الاختراق يوم الأربعاء هو الهجوم الثاني على مشروع اليورانيوم في تتابع سريع. في وقت سابق من أبريل ، استغل المتسللون أحد مجمعات المنصة لسرقة ما قيمته 1.3 مليون دولار من BUSD و BNB.
في الواقع ، أدى الحادث إلى الهجرة الأولى إلى الإصدار 2 قبل أقل من أسبوعين. في إعلان سابق ، قال فريق تطوير اليورانيوم إن العديد من الكيانات قد قامت بمراجعة عقودها من الإصدار 2 وأنها تعلمت من أخطائها السابقة.
وفي الوقت نفسه ، تنتشر التكهنات حول ما إذا كان الهجوم عبارة عن وظيفة داخلية نظرًا للقرار المفاجئ بهندسة ترقية إصدار آخر بعد 11 يومًا فقط من إكمال ترحيل الإصدار 2.
اليوم تضمين التغريدة حصلت على طلب. كان مطورو اليورانيوم قد نشروا للتو الإصدار 2 من عقودهم ، وبعد 11 يومًا طلبوا من الجميع الانتقال إلى الإصدار 2.1. توقيت غريب جدًا للترقية ، أليس كذلك؟
إليك كيفية عمل الخطأ.
– كايل “1B TVL” Kistner | نقطة ارتكاز | ب زد (@ BeTheb0x) 28 أبريل 2021
الاختراق المرتبط بأخطاء العقود الذكية أمر شائع في مجال التمويل اللامركزي حتى بالنسبة للمشاريع الخاضعة للتدقيق الكامل كما كان الحال مع MonsterSlayer Finance في وقت سابق من أبريل. مرة أخرى في شهر مارس ، ورد أن ميركات ، وهي نسخة من Yearn Finance على BSC “خدعت” مستخدميها ، حيث سرقت 31 مليون دولار في هذه العملية.
بعد أيام ، كشف فريق تطوير المشروع أن “سحب البساط” المزعوم كان بمثابة اختبار أثناء تحديد خطط لإعادة الأموال. TurtleDex ، وهو مشروع آخر قائم على BSC ، تعرض أيضًا للاحتيال بعد وقت قصير من إطلاقه ، مما أدى إلى استنزاف أكثر من 9000 BNB tokens التي تم جمعها خلال فترة ما قبل البيع.
