باختصار شديد
- أكملت شركة Yuga Labs عملية إنقاذ أمنية أخلاقية في 8 يونيو بعد ثغرة أمنية أصابت بروتوكول Flooring
- تم حفظ 68 رمزًا غير قابل للاستبدال (NFTs)، بما في ذلك Bored Apes وCryptoPunks وAzuki وDoodles وMoonbirds، بقيمة تزيد عن 500,000 دولار.
- سمحت ثغرة أمنية للمهاجمين بسكّ عدد غير محدود تقريبًا من الرموز واستنزاف سيولة مجمعات الرموز غير القابلة للاستبدال (NFT).
- حذرت شركة Flooring Protocol المستخدمين من إجراء إيداعات جديدة طالما أن الثغرة الأمنية لا تزال قائمة.
- يعمل الفريق مع المطورين لإعادة الأصول المستعادة بمجرد إصلاح المشكلة.
أنقذت شركة Yuga Labs 68 رمزًا غير قابل للاستبدال (NFTs) في 8 يونيو بعد اكتشاف ثغرة أمنية في بروتوكول Flooring، وهي منصة تسمح للمستخدمين بقفل الرموز غير القابلة للاستبدال (NFTs) مقابل رموز قابلة للاستبدال.
أكملت شركة Yuga Labs عملية إنقاذ آمنة لرموز NFT عالية القيمة في ثغرة بروتوكول Flooring.
قال مايكل فيج، الرئيس التنفيذي لشركة Yuga Labs، إن الفريق قد أكمل عملية إنقاذ أخلاقية لثغرة أمنية تم اكتشافها في بروتوكول Flooring.
أصبحت رموز NFT التي تم إنقاذها الآن بأمان في عهدة شركة Yuga Labs،… pic.twitter.com/ds7f3plmqE
— وو بلوك تشين (@WuBlockchain) ٨ يونيو ٢٠٢٦
أكد الرئيس التنفيذي مايكل فيج أن العملية قد اكتملت وأن الأصول الآن في عهدة شركة يوجا لابز.
تضمنت المجموعة التي تم إنقاذها 29 قردًا ملولًا، و4 قرود متحولة، و1 BAKC، و2 من CryptoPunks، و1 Azuki، و2 من Elementals، و26 من Captains، و1 Moonbird، و2 من Doodles.
كيف تم استغلال الثغرة
سمحت الثغرة الأمنية لكمية صغيرة من WETH بتوليد رصيد شبه لانهائي من fpTokens، وهي الرموز القابلة للاستبدال في البروتوكول.
أوضح رئيس قسم تقنية البلوك تشين في شركة يوجا لابز ، المعروف باسم 0xQuit، أن الخلل ناتج عن خلل في منطق الملكية والفهرسة. إذ يمكن لمعرّف رمز مميز خبيث أن يجتاز فحوصات الملكية بينما تُظهر الحسابات نتيجة مختلفة.
وقد أدى ذلك إلى ما أسماه 0xQuit "ملكية وهمية". ثم تسبب تحديث الرصيد غير المدقق في حدوث نقص في التدفق، مما منح المهاجمين رصيدًا أكبر بكثير من الرموز مما ينبغي أن يكون لديهم.
بفضل هذا الرصيد المتضخم، يمكن للمهاجمين دفع أسعار الرموز المميزة إلى ما يقارب الصفر واستنزاف السيولة من المجمعات، ثم استرداد الرموز غير القابلة للاستبدال الأساسية.
تفاصيل عملية الإنقاذ
قام مكتب التداول التابع لشركة Yuga Labs، GrailsOTC، بتوفير الأموال والرموز غير القابلة للاستبدال (NFTs) اللازمة لنقل الأصول المعرضة للخطر من المجموعات المعرضة للخطر قبل أن يتمكن المهاجمون من الوصول إليها.
كما ساهم الباحث الأمني كوفي في العملية. وقد سبق أن تعرضت بعض المجموعات للمداهمة قبل أن يحدد الفريق حجم المخاطر بالكامل.
وقدّرت شركة 0xQuit أن قيمة الأصول التي تم إنقاذها تزيد عن 500 ألف دولار.
أعلنت شركة Yuga Labs أنها ستحتفظ بالرموز غير القابلة للاستبدال (NFTs) بشكل آمن وستعمل مع فريق تطوير بروتوكول Flooring لإعادتها بمجرد نشر التحديث.
لا يزال البروتوكول عرضة للاختراق
أكد المطور الرئيسي لبروتوكول Flooring، المعروف باسم 0xFreeLunch، أن الثغرة الأمنية أثرت على بروتوكول Flooring V2 و BitmapPunks.
قال إن كلا المشروعين استخدما عقودًا تربط الرموز القابلة للاستبدال بنسبة 1:1 مع الرموز غير القابلة للاستبدال المقفلة. وقد سمحت هذه الثغرة الأمنية بسكّ واسترداد رموز زائدة على الرغم من إجراء العديد من المراجعات الأمنية.
أفاد 0xFreeLunch بأن نطاق الهجوم كان أوسع مما أدركه المهاجم الأول. كما أدى نفس الأسلوب إلى استنزاف سيولة حسابات فريق BitmapPunks.
حذّرت شركة 0xQuit المستخدمين من إيداع أي رموز NFT إضافية في بروتوكول Flooring. قد تكون الأصول المودعة حديثًا عرضة للخطر طالما بقيت الثغرة الأمنية قائمة.
قال مهندس بروتوكول الأرضيات إنه يتحمل مسؤولية تصميم العقد وأن الكود الموفر للغاز على مستوى البت أخفى الخلل عن عمليات التدقيق السابقة.
ليست هذه المرة الأولى التي يتعرض فيها البروتوكول لاختراق أمني. فقد أسفرت حادثة سابقة عن خسائر بلغت حوالي 1.5 مليون دولار أمريكي في رموز NFT.
يقوم الفريق حاليًا بتتبع الأصول المستخرجة والتنسيق مع فرق الأمن والبورصات.
نُشرت المقالة "Yuga Labs Rescues 68 High-Value NFTs After Flooring Protocol Exploit" لأول مرة على موقع CoinCentral .