#BitcoinRalliesOver5Percent

تم إنقاذ أكثر من 500,000 دولار أمريكي من NFTs في عملية هجوم من قبل الهاكر الأخلاقي بواسطة Yuga

نجحت Yuga Labs في إنقاذ 68 NFT بقيمة تزيد عن 500,000 دولار أمريكي من خلال عملية طوارئ من قبل الهاكر الأخلاقي، مما مكنها من تأمين الأصول المعرضة للخطر نتيجة استغلال بروتوكول Flooring قبل أن يتمكن المهاجم من سرقتها بالكامل.

شملت الأصول التي تم إنقاذها 29 من Bored Apes، واثنين من CryptoPunks، وأربعة Mutant Apes؛ الآن جميع هذه NFTs تحت سيطرة Yuga وسيتم إعادتها إلى مالكيها بعد إصلاح البروتوكول.

كيف حدث الاستغلال

يعد بروتوكول Flooring منصة سيولة NFT. يمكن للمستخدمين قفل NFTs الخاصة بهم والحصول على رموز fpToken التي يمكن تداولها وتثبيتها مقابل NFT المخزنة، بنسبة واحد إلى واحد.

بدأ المهاجم بمبلغ صغير من Wrapped Ether (WETH)، ثم استغل ثغرة في منطق محاسبة البروتوكول التي سمحت له بإصدار رصيد fpToken غير محدود تقريبًا.

وفقًا لنائب رئيس قسم البلوكتشين في Yuga، 0xQuit، فإن رموز الهوية التي أنشأها المهاجم بشكل خبيث تخلق ما أسماه حالة ملكية الأشباح. تمر فحوصات الملكية، من جهة، لكن التسجيل الداخلي يختلف تمامًا، وفقًا لـ 0xQuit.

تحدث بعد ذلك حالتان من التدفق الزائد غير المنضبط، مما أدى إلى زيادة رصيد المهاجم بشكل كبير. ثم قاموا ببيع سعر fpToken حتى اقترب من الصفر، واستنزاف البركة المتأثرة.

لماذا تدخلت Yuga

اكتشف الباحثون بعد ذلك مسار هجوم ثانٍ كشف عن بركة ذات قيمة أكبر، بما في ذلك مجموعة NFT من نوع بلو تشيب. نجا تلك NFTs من الهجوم الأول لأنها كانت تملك سيولة قليلة.

كانت الرهانات على تلك المجموعة المميزة. كان سعر Bored Ape الأساسي حوالي 8.95 ETH أو حوالي 15,121 دولارًا أمريكيًا، بينما كانت CryptoPunks فوق 32 ETH أو حوالي 55,248 دولارًا، وفقًا لبيانات CoinGecko في 8 يونيو.

بهذا السعر، كانت قيمة 29 من Bored Apes حوالي 441,000 دولار أمريكي، وتعد أكبر عنصر من بين الأصول التي تم إنقاذها.

تطابق هذا الحساب مع البيانات التي تزيد عن 500,000 دولار أمريكي لإجمالي 68 NFT التي ذكرها 0xQuit. كما حدث الاستغلال في عطلة نهاية الأسبوع، عندما يكون عدد قليل من الفرق يراقب النشاط على السلسلة.

لقد دخل بروتوكول Flooring في مرحلة التقاعد منذ العام الماضي، ولم تعد معظم أقسام NFT تدار بشكل نشط. بقي المهندس الأصلي فقط كمزود للسيولة، وفقد أصوله أيضًا في هذا الحادث.

كشف الرئيس التنفيذي مايكل فيجي عن أنه أمر فريق GrailsOTC بإخراج الأموال وNFTs لمهمة الإنقاذ. ثم أطلق الفريق عقدًا يستخدم نفس الثغرة، لكنه يهدف إلى الصمود، محاكياً خطوة استرداد الهاكر الأخلاقي التي تم تنفيذها سابقًا في DeFi.

أكدت Yuga، التي استحوذت أيضًا على مجموعة CryptoPunks، أن هذه الخطوة مؤقتة. يتحمل المهندس، باسم الحساب 0xFreeLunch، المسؤولية ويلوم الكود الذي تم تحسينه لتوفير الغاز، مما يصعب على المدققين اكتشاف الثغرة.

ماذا حدث بعد ذلك

يفترض مهندس البروتوكول أيضًا أن المهاجم استخدم أدوات ذكاء اصطناعي متقدمة، نظرًا لتعقيد الهجوم. في الوقت نفسه، طلب 0xQuit من حاملي NFTs عدم الاقتراب من المنصة.

قال Quit: "من المهم جدًا عدم إيداع NFTs مرة أخرى في Flooring Protocol، لأنه سيكون عرضة للهجوم مباشرة."

لا يزال المهاجم يحتفظ ببعض NFTs المسروقة، لذلك لم تنته القضية بعد. مثل مشاريع DeFi الأخرى بعد التعرض للاستغلال، من المحتمل أن تقوم Flooring الآن بإطلاق عقد جديد ويجب أن تتخذ قرارًا بشأن تعويض الحاملي المتضررين.