بروتوكول تجميع المعاملات “فوروكومبو” يتعرض للاختراق ويخسر ١٤ مليون دولار
[ad_1]
حققت أحدث عملية اختراق، والمسماة “العقد الشرير”، لصاحبها أكثر من ١٤ مليون دولار من الأموال المسروقة.
حيث وقعت فوروكومبو، وهي أداة مصممة لمساعدة المستخدمين على “تجميع” المعاملات والتفاعلات مع بروتوكولات متعددة في وقتٍ واحد، ضحية للهجوم الذي تركز على موافقات التوكنات من المستخدمين.
ويحتوي عنوان المهاجم حاليًا على ١٤ مليون دولار من العملات المشفرة المختلفة، ولكن يبدو أن الهجوم أكبر نظرًا لأنه تم نقل إيثريوم إلى تورنيدو كاش على دفعات خلال الساعة الماضية.
ويشبه هذا الهجوم من الناحية المفاهيمية هجوم “الوعاء الشرير” بقيمة ٢٠ مليون دولار الذي ضرب شركة بيكل فاينانس العام الماضي، بالإضافة إلى استغلال “التعويذة الشريرة” بقيمة ٣٧ مليون دولار والذي أصاب ألفا فاينانس في وقتٍ سابق من هذا الشهر. في عمليات اختراق “العقد الشرير”، ينشئ المهاجم عقدًا يخدع أحد البروتوكولات للاعتقاد بأنه ينتمي إليه، مما يمنحه إمكانية الوصول إلى أموال البروتوكول.
في هذه الحالة، “خدع” المهاجم بروتوكول فوروكومبو ليعتقد أن عقده كان نسخة جديدة من آيف. من هناك، بدلًا من استنزاف الأموال من البروتوكول كما هو الحال في عمليات اختراق العقود الشريرة السابقة، استفادوا بدلًا من ذلك من القدرة على أخذ الأموال من كل مستخدم منح أذونات توكنات البروتوكول.
وقد صرح المخترق الأخلاقي وأحد مؤسسي ديفاي إيتالي في بيان لكوينتيليغراف أن “الأذونات اللانهائية تعني أنه يمكنك مسح كل من تفاعل مع فوروكومبو”.
يبدو أن هذا النوع من برمجيات إكسبلويت يتزايد شعبيته، حيث يمثل الآن أكثر من ٧٠ مليون دولار من أموال المستخدمين المفقودة في غضون بضعة أشهر فقط.
وقد أكد الفريق الهجوم في تغريدة، قائلين إنهم “يعتقدون” أنهم قد خففوا من الاستغلال، لكنهم أوصوا بإلغاء الأذونات “بدافع الحذر الشديد:”
Today at 4:47 PM UTC the Furucombo proxy was compromised by an attacker. We have deauthorized the relevant components and believe the vulnerability to be patched but we recommend users remove approvals out of an abundance of caution.
— FURUCOMBO (@furucombo) February 27, 2021
ويمكن للمستخدمين الاستفادة من أدوات مثل revoke.cash للقيام بذلك.
يأتي الهجوم خلال فترة انعكاس أوسع في عالم التمويل اللامركزي على الأمن وفائدة شركات التدقيق. ففي الأشهر الثلاثة الماضية، ظهرت ثلاث خدمات مختلفة للتدقيق ومراجعة التعليمات البرمجية، ولكل منها نموذج حافز مختلف مصمم لتشجيع ممارسات أمنية أكثر شمولًا وديناميكية.
[ad_2]
Source link