قبل بضعة أيام، تعرض تطبيق FixedFloat اللامركزي الذي لا يعتمد على اعرف عميلك (KYC) لهجوم اختراق على بنيته التحتية، مما أدى إلى خسائر قدرها 26 مليون دولار.
وفقًا لشركة التدقيق وتحليل blockchain PeckShield، تمت سرقة ما مجموعه 1728 ETH و409 BTC: تم بعد ذلك غسل بعض الأموال عن طريق المرور عبر الخلاطات اللامركزية ومعاملات العملات المعدنية.
ذكرت FixedFloat أن أموال المستخدمين آمنة وأن الاختراق لم يعرض الاستقرار المالي لتطبيق تبادل العملات المشفرة للخطر.
كل التفاصيل أدناه.
ثغرة أمنية في بنية FixedFloat: التطبيق اللامركزي يعاني من اختراق بقيمة 26 مليون دولار في BTC وETH
في يوم السبت الموافق 17 فبراير، كان تطبيق تبادل العملات المشفرة اللامركزي FixedFloat ضحية للاختراق الذي تسبب في خسائر بقيمة 26 مليون دولار في BTC و ETH.
بدأ الأمر برمته عندما أبلغ العديد من المستخدمين عن تعرضهم للمعاملات المجمدة وأموال مفقودة في حساباتهم؛ وبعد فترة وجيزة، تم اكتشاف ذلك من خلال التحليل على السلسلة تم استنزاف عدة ملايين من الدولارات إلى محافظ خارجية مختلفة غير معروفة.
على الرغم من أنه ليس من الواضح بعد كيف وقع الهجوم، إلا أن فريق FixedFloat أوضح على الفور أنه كان "مشكلة فنية صغيرة" وقت وقوع الحادث.
وأعلنت الشركة نفسها أنه سيتم إعادة الأموال إلى مستخدمي المنصة وأن الاختراق لم يعرض الاستقرار المالي للشركة للخطر.
على أية حال، في وقت كتابة المقال يظل التطبيق اللامركزي غير نشط وفي وضع الصيانة، ولكن سيتم إعادة فتحه في مستقبل غير محدد، بمجرد التأكد من أنه آمن للاستخدام.
إليك ما تم الإبلاغ عنه عن X بواسطة FixedFixedFloat بعد الاختراق:
تشتهر البورصة اللامركزية بخدماتها غير المتعلقة بـ "اعرف عميلك"، والتي لا تتطلب التسجيل بموجب إجراء "اعرف عميلك" الكلاسيكي، مما يسمح بميزة تنافسية من حيث الخصوصية.
من خلال توفير إمكانية البقاء مجهول الهوية والسماح بالمعاملات بالبيتكوين من خلال شبكة Lightning Network لعملائها، اجتذبت FixedFloat مجموعة واسعة من المستخدمين من الولايات المتحدة.
وجزئيًا، كانت خاصية عدم الكشف عن هويته وغياب الضوابط الداخلية تفضل هجوم القراصنة الخبيث، الذين لم يضطروا إلى تقديم بياناتهم الشخصية للوصول إلى التطبيق.
وفقًا لشركة PeckShield للأمن السيبراني وتحليل blockchainوتبلغ قيمة السرقة على وجه التحديد 1728 إيثريوم بقيمة 4.85 مليون دولار، و409 بيتكوين بقيمة 21 مليون دولار تقريبًا.
تم بالفعل نقل معظم الأثير الناتج عن الاختراق إلى مجموعة واسعة من البورصات اللامركزية على blockchain Ethereum.
أفادت شركة FixedFloat أنها تعمل مع جهات إنفاذ القانون وشركات الطب الشرعي في مجال blockchain وبورصات العملات المشفرة لتعقب المتسللين الذين لم يتصلوا بالبورصة بعد.
وأكدت الشركة أنها ستفي بجميع التزاماتها المتعلقة بالسداد بمجرد استئناف عملياتها والتأكد من أن البورصة ستكون آمنة للاستخدام مرة أخرى.
تمت إعادة تدوير جزء من عملة البيتكوين المسروقة من الاختراق من خلال عملية ربط العملة
في حين أن ETH المسروقة من اختراق التطبيق اللامركزي FixedFloat قد تم نقلها بسهولة إلى عشرات العناوين المختلفة وتم تداولها من خلال blockchain Ethereum، BTC التي تعد جزءًا من نفس المسروقات على وشك إعادة تدويرها مع المعاملات Coinjoin.
نذكرك أن Coinjoin هو نوع من عمليات Bitcoin، تم نظريته لأول مرة بواسطة غريغوري ماكسويل في عام 2013، حيث يتم دمج العديد من مدفوعات BTC في معاملة واحدةمما يجعل من الصعب تحديد العناوين التي أنفقت أي مبلغ.
على غرار ما يحدث مع الخلاطات اللامركزية مثل تورنادو كاش، يتم دمج معاملات العملات المعدنية معًا لإجراء معاملة واحدة في مجمع مشترك، حيث يمكن للمودعين بعد ذلك طلب استرداد أموالهم. الأموال "المجمعة" والمجهولة المصدر.
في حالتنا، استغل المتسلل نوعًا من الخلاط الذي يستخدم طريقة لزيادة الخصوصية تشبه عملة الانضمام، حيث تم بالفعل تبادل العديد من عملات البيتكوين.
على وجه الخصوص، يمكننا التأكيد أنه وفقًا لما أوضحه أحد الباحثين web3 on X، فقد تدفق جزء من الأموال المسروقة، على وجه الدقة، 2.7544 BTC، إلى العنوان
34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA، الذي ينتمي إلى CEX TradeOgre.
يمكن أن تمثل هذه الأموال العمولة التي دفعها الممثل الخبيث لاستخدام الخلاط، والذي يبدو ليتم ربطها بتطبيق Whirpool الذي يطبق نظام خصوصية متطور.
من المعتقد أن 166 من أصل 409 عملة بيتكوين مسروقة من التطبيق اللامركزي FixedFloat قد مرت بالفعل عبر خلاط Whirpool.
تعتبر مثل هذه الحوادث شائعة في بيئات التشفير، وخاصة في البيئات التي لا تعتمد على مبدأ "اعرف عميلك" والتي تحمي بطريقة أو بأخرى سرية هوية المتسللين.
وفقًا لشركة أبحاث الطب الشرعي تشيناليسيس، على الرغم من الحوادث العديدة المسجلة في عام 2023 الاختراقات والمآثر آخذة في التناقص مقارنة بالعام السابقعندما كانت هناك طفرة في السرقات.
وبشكل عام، انخفضت قيمة الأموال المخترقة بنحو 54.3% مقارنة بعام 2022 بإجمالي مبلغ مسروق يقارب 1.7 مليار دولار، مستمدة بشكل أساسي من اختراقات تطبيقات DeFi.
المصدر: https://en.cryptonomist.ch/2024/02/20/the-decentralized-application-fixedfloat-falls-victim-to-a-26-million-hack/