ثغرات أمنية في بروتوكولات DeFi تسببت في خسارة 90 مليون دولار، وأصبحت مشكلات الأمان خطيرة بشكل متزايد

في الثالث من سبتمبر/أيلول، تعرض بروتوكول التمويل اللامركزي Pythia Finance لهجوم إعادة الدخول الذي استنزف 53 ألف دولار من أمواله. وقد وقع Pythia، وهو مشروع عملة مستقرة خوارزمية يستخدم الذكاء الاصطناعي لإدارة خزينته، ​​ضحية لهذا الاستغلال بسبب خلل في وظيفة "المطالبة بالمكافآت".

وقد قام المهاجم باستدعاء هذه الوظيفة بشكل متكرر دون السماح للنظام بتحديث رصيد المكافآت بعد كل استدعاء، مما مكنهم من جمع المكافآت بما يتجاوز استحقاقهم. وقد ارتبطت هذه الثغرة باستخدام Pythia لوظيفة "النقل الآمن" للرمز أثناء توزيع المكافآت. وقد استغل عقد رمزي خبيث هذه الثغرة من خلال التسبب في انخراط Pythia في حلقة، مما أدى إلى استنزاف موارد البروتوكول.

قراءة ذات صلة:تم الإعلان عن خطة ترامب العقارية الرقمية، وإطلاق منصة التشفير The DeFiant Ones للترويج لرمزية الأصول في العالم الحقيقي (RWA)

وقد أبلغت شركة Quill Audits، وهي شركة أمن بلوكتشين، عن الحادث، مشيرة إلى أن تدقيقها الجزئي لـ Pythia لم يُظهر أي مشكلات أمنية غير محلولة، مما يشير إلى أن الفريق ربما عالج الخلل بعد الهجوم. تظل هجمات إعادة الدخول، مثل هذا الهجوم، تهديدًا شائعًا في مجال العقود الذكية، حيث يتلاعب المهاجمون بوظيفة قبل اكتمال تنفيذ الكود الخاص بها.

لقطة شاشة لتقرير التدقيق الجزئي لشركة Pythia. (بيثيا / العاشر).

أجهزة الشبكات من شركة Zyxel تعرض المستخدمين لخطر الاختراق

وفي الوقت نفسه، كشفت شركة Zyxel المصنعة لأجهزة الشبكات عن ثغرة أمنية خطيرة في الرابع من سبتمبر/أيلول، والتي كان من الممكن أن تسمح للمهاجمين بتنفيذ التعليمات البرمجية على أجهزة التوجيه ونقاط الوصول الخاصة بالمستخدمين. وقد نشأت الثغرة الأمنية من إبطال مفعول عناصر داخل برنامج CGI بشكل غير صحيح، مما قد يسمح بتنفيذ أوامر غير مصرح بها من خلال ملفات تعريف الارتباط المصممة.

يشكل هذا الخلل خطرًا كبيرًا على مستخدمي محافظ العملات المشفرة، حيث يمكن أن تؤدي الشبكات المنزلية المخترقة إلى انتحال DNS واعتراض البيانات وهجمات الهندسة الاجتماعية. أصدرت Zyxel قائمة بالأجهزة المتأثرة وحثت المستخدمين على تحديث البرامج الثابتة الخاصة بهم للتخفيف من هذا الخطر.

قراءة ذات صلة:RDX Works، مطور منصة Radix DeFi، ينفذ تخفيضًا في عدد الموظفين بنسبة 15% وسط تدابير خفض التكاليف

استغلال Penpie يؤدي إلى خسارة 27 مليون دولار

كان هناك حادث كبير آخر في مجال DeFi يتعلق ببروتوكول Penpie، الذي تعرض لاستغلال بقيمة 27 مليون دولار في 3 سبتمبر. ووفقًا لتقرير صادر عن Zokyo، فإن الخلل يكمن في وظيفة تسمح لأي مستخدم بإنشاء سوق Pendle. مكنت هذه الثغرة المهاجم من إنشاء سوق وتجمع مزيفين، تم التلاعب بهما لتوليد مكافآت قيمة.

استغل المهاجم ثغرة إعادة الدخول في نظام Penpie، حيث قام باستدعاء وظيفة الإيداع بشكل متكرر لزيادة المكافآت قبل سحب الإيداع. كانت الثغرة موجودة في إصدار سابق من البروتوكول ولكنها تفاقمت بسبب التغييرات التي سمحت لأي شخص بتسجيل مجموعة جديدة، وهي الميزة التي تم تقديمها بعد تدقيق Zokyo.

أقر فريق Penpie بوجود هذه المشكلة، ونسبوا الاستغلال إلى إهمال أثناء عمليات تدقيق منفصلة أجرتها شركات أمنية مختلفة. وفي المستقبل، يخططون لتنفيذ عمليات تدقيق دورية لمنع وقوع حوادث في المستقبل.