aBNBc تعرضت لهجوم هاكر، ونتيجة للإهمال في ترقية العقد تم إصدار كمية كبيرة من العملات بشكل غير قانوني

في 2 ديسمبر، اكتشف مختبر ما من خلال بيانات داخل السلسلة أن مشروع aBNBc تعرض لاختراق من قبل هاكر، مما أدى إلى إصدار غير قانوني لعدد كبير من عملات aBNBc. قام الهاكر بتحويل جزء من العملات المصدرة بشكل غير قانوني في DEX إلى BNB، بينما احتفظ بجزء آخر في المحفظة. بالإضافة إلى ذلك، استخدم المهاجمون هذه العملات المصدرة بشكل غير قانوني لإجراء قروض مضمونة، مما تسبب في خسائر لمنصة الإقراض. تسببت هذه الحادثة في نقص حاد في السيولة لعملة aBNBc، وانخفاض كبير في السعر.

من خلال تحليل بيانات المعاملات المتعددة، اكتشف الباحثون أنه على الرغم من اختلاف عناوين الاستدعاء، إلا أنها جميعًا أدت إلى زيادة إصدار العملات. وأظهر التحقيق الإضافي أن المشروع قد أجرى ترقية للعقد قبل التعرض للاختراق، وأن الدالة الخاصة بزيادة الإصدار في العقد المنطقي المحدث تفتقر إلى فحص الأذونات الضرورية.

هاكر من خلال عقد وكيل استدعى دالة محددة في العقد المنطقي، نظرًا لأنه لم يتم التحقق من الأذونات لهذه الدالة، تمكن من تنفيذ إصدار غير قانوني لعملة aBNBc.

بعد التعرض لهجوم، قامت الجهة المسؤولة عن المشروع بتحديث العقد المنطقي على الفور، حيث أضافت آلية للتحقق من الأذونات لوظيفة إصدار العملات في النسخة الجديدة.

فيما يتعلق بتدفق الأموال، قام الهاكر بتحويل جزء من aBNBc الذي تم إصداره حديثًا إلى BNB ونقله، لكن لا يزال هناك كمية كبيرة من aBNBc محتجزة في محفظته.

بشكل عام، جاءت هذه الهجمة بشكل رئيسي من الإهمال في عملية ترقية العقد، حيث تفتقر دالة إصدار جديدة في العقد المنطقي الجديد إلى فحص الأذونات اللازمة. لا يزال من غير الواضح ما إذا كان ذلك بسبب استخدام كود عقد غير مُدقق وغير مُختبر من الناحية الأمنية، أو بسبب تسرب المفتاح الخاص مما سمح للهاكر بترقية العقد بنفسه. بغض النظر، فإن هذا الحدث يبرز مرة أخرى أهمية الحفاظ الجيد على مفاتيح المحفظة الخاصة والكلمات المساعدة، وكذلك ضرورة إجراء اختبارات أمان شاملة عند إجراء ترقية للعقد.