تعرض جسر Shibarium التابع لـ Shiba Inu لهجوم قرض سريع بقيمة 2.4 مليون دولار يوم الجمعة، مما أعطى المستغل السيطرة على 10 من 12 مفتاحًا للتحقق مما يسمح لهم باستنزاف رموز ETH وSHIB من الشبكة.
قام المطورون بسرعة بإيقاف بعض الوظائف، وتأمين الأموال المتبقية في محفظة أجهزة متعددة التوقيع، ويعملون مع شركات الأمن للتحقيق في الاختراق، مما يؤكد المخاطر المتزايدة التي تواجه الجسور عبر السلسلة في DeFi.
ملخص
- تم اختراق جسر شيباريوم، وسرقة 2.4 مليون دولار من ETH وSHIB عبر استغلال قرض سريع
- استخدم المخترق قرض BONE بقيمة 4.6 مليون دولار، وحصل على سيطرة على المُحقق، وأفرغ عقد الجسر
- أوقف المطورون الشبكة، وحصلوا على الأموال في multisig، وعملوا مع شركات الأمن
أجبرت هذه الثغرة مطوري Shiba Inu ( SHIB ) على إيقاف بعض أنشطة الشبكة أثناء تقييم الأضرار.
قام المهاجم باقتراض 4.6 مليون رمز BONE ( BONE ) من خلال قرض سريع وحصل على حق الوصول إلى 10 من 12 مفتاح توقيع للتحقق من صحة الشبكة.
وقد أعطى هذا للمستغل حصة أغلبية الثلثين وسمح لهم باستنزاف ما يقرب من 224.57 ETH ( ETH ) و92.6 مليار SHIB من عقد الجسر قبل تحويل الأموال إلى عنوانهم الخاص.
مطور شيبا إينو: تم التخطيط للهجوم منذ أشهر
ووصف مطور شيبا إينو، كال دهيريا، الحادث بأنه هجوم "متطور" "وربما تم التخطيط له منذ أشهر".
استغل المهاجم منصبه المتميز لتوقيع تغييرات حالة ضارة واستخراج الأصول من البنية التحتية للجسر.
تحرك فريق شيباريوم بسرعة لاحتواء الاختراق، وإيقاف وظيفة الرهان وإلغاء الرهان كإجراء احترازي.
قاموا بنقل أموال مدير الحصة من عقد الوكيل إلى محفظة أجهزة يتم التحكم فيها بواسطة إعداد متعدد التوقيعات موثوق به 6 من 9.
تظل رموز BONE المُستعارة المُستخدمة في الهجوم مُقفلة في المُحقق 1 بسبب تأخيرات إلغاء المُراهنة. هذا يُتيح للمطورين تجميد هذه الأموال. قد تمنع آلية التأخير هذه المُهاجم من الاستفادة الكاملة من استغلاله.
شيباريوم في وضع السيطرة على الأضرار
أشار المطور "ديريا" إلى أنهم في وضع "السيطرة على الأضرار" حاليًا، ولم يحسموا بعد ما إذا كان مصدر الاختراق خادمًا مُخترقًا أم جهازًا تابعًا للمطور. ويعمل الفريق مع شركات الأمن "هيكسنز" و"سيل 911" و"بيك شيلد" للتحقيق في الحادثة.
تم التواصل مع السلطات بشأن الهجوم، لكن الفريق لا يزال منفتحًا على المفاوضات. وعرض الفريق عدم توجيه اتهامات في حال إعادة الأموال، وأبدى استعداده لدفع مكافأة رمزية لاستعادة الأصول.
أصبحت الجسور العابرة للسلاسل هدفًا رئيسيًا للقراصنة نظرًا لنماذجها الأمنية المعقدة ومجموعات التمويل الضخمة. وينضم حادث شيباريوم إلى قائمة متزايدة من استغلالات الجسور التي كلفت منظومة التمويل اللامركزي (DeFi) خسائر بالمليارات.
يخطط الفريق لاستعادة أموال مدير الحصة بمجرد اكتمال عمليات نقل المفاتيح الآمنة والتحقق من سلامة التحكم في المحقق.
سيتم استئناف وظائف الشبكة بالكامل فقط بعد التأكد من مدى تعرض مفتاح التحقق للخطر وتنفيذ تدابير أمنية إضافية.
