أومني، بروتوكول NFT، خسر في هجوم العودة

- تعرضت شركة OMNI التابعة لبروتوكول NFT لاختراق، وسرقت 1300 ETH من أموال الاختبارات الداخلية.

- أستخدم المهاجم هجوم العودة إلى الداخل وهي الطريقة المستخدمة للاستفادة من العيوب في العقود الذكية.

- لا يزال مجال التجارة غير القانونية هدفا شائعا للجهات الفاعلة السيئة التي تسعى إلى إيجاد فرص للتوفيق بين النظم وسرقة الأموال حيثما كان ذلك ممكنا.

الكلمات الأساسية: OMNI، NFT، إعادة الدخول، أختراق، بروتوكول، صندوق الاختبار.

وفي 10 يوليو/تموز 2022، شهدت شركة OMNI لبروتوكول مكافحة تمويل الإرهاب مخالفة، حيث خسرت 1300 ETH من أموال الاختبارات. ووفقا لسوق المال التابعة لشركة NFT، لم تتأثر أموال المستخدمين. وأوضح فريق المنظمة كذلك أن البروتوكول لا يزال في مرحلة بيتا بينما كان قد علق. واضافت انها تحقق حاليا في سبب الهجوم. غير ان شركة بيكى شيلد الامنية قالت فيما بعد انه يبدو انه هجوم مرتبط بالعودة. ولم يقم فريق الحركة الوطنية لتحرير أزواد بعد بمراجعة كاملة وبيان الهجوم.

OMNI Tweet

وقد وقعت عدة هجمات في فضاء الدفي والقناة الشمالية الغربية، حيث يسرق الفاعلون السيئون مئات الملايين من الدولارات.

وتعد شركة OMNI سوقا لنقود NFT توفر خدمات الإقراض والاقتراض. ويمكن للمستخدمين كسب الفائدة عن طريق إقراض الأوراق المالية غير القابلة للتحويل (NFT) وغيرها من أجهزة ERC-20 المميزة. ويمكن أيضا إستخدام الأصول كضمان للقروض.

وقد وقعت عدة هجمات في فضاء الدفي والقناة الشمالية الغربية، حيث يسرق الفاعلون السيئون مئات الملايين من الدولارات.

وتعد شركة OMNI سوقا لنقود NFT توفر خدمات الإقراض والاقتراض. ويمكن للمستخدمين كسب الفائدة عن طريق إقراض الأوراق المالية غير القابلة للتحويل (NFT) وغيرها من أجهزة ERC-20 المميزة. ويمكن أيضا إستخدام الأصول كضمان للقروض.

هجوم NFT و Cyber

ورغم تباطؤ المبيعات، فإن سوق الأوراق المالية غير القابلة للتحويل تظل واحدة من أكثر القطاعات نشاطا في صناعة العملات المشفرة. ونتيجة لهذا فإنها تصنف كهدف رئيسي للمخترقين، الذين يسعون إلى الفرص لتقديم تنازلات للأنظمة وسرقة الأموال حيثما كان ذلك ممكنا.

وقد حدثت مثل هذه الحوادث مرات عديدة هذا العام. خسرت "إكس سي أرنيفال"، وهي مجموعة إقراض NFT، حوالي 4 ملايين دولار بسبب هجوم، على الرغم من أن المخترق حصل على 1،500 جائزة "إي تي إي". كما تم إطلاق العديد من محاولات التصيد الاحتيالي ضد نادي يخت القرود الملتوية، مستهدفة الفتنة وغيرها من منصات وسائل التواصل الاجتماعي.

وأبرز حادث وقع في هذه المنطقة هو أختراق جسر رونين، الذي أدى إلى سرقة أكثر من 600 مليون دولار. ويعتقد المحللون أن قراصنة من كوريا الشمالية كانوا وراء الحادث. ولكن نظرا للانحدار الأخير في السوق، انخفضت قيمة عملة كوريا الشمالية المشفرة المسروقة بشكل كبير.

ما هو هجوم العودة؟

مصطلح "إعادة الإدخال" هو مصطلح تم إستخدامه في الحوسبة لسنوات عديدة لوصف العملية التي يمكن من خلالها مقاطعة عملية ما في منتصف التنفيذ، كما يمكن أن يبدأ حدوث مختلف لنفس الوظيفة، ويمكن أن تنتهي كلتا العمليتين إلى الاكتمال. كل يوم، نستخدم وظائف إعادة الدخول للحساب بأمان. أحد الأمثلة الجيدة هو القدرة على بدء مسودة بريد إلكتروني على خادم، والخروج منها لإرسال بريد إلكتروني آخر، ثم العودة إلى المسودة للانتهاء وإرسالها.

ولنتأمل هنا نظاما مصرفيا رديئا التصميم على شبكة الإنترنت لإصدار التحويلات المصرفية، حيث لا يتم التحقق من رصيد الحساب إلا أثناء مرحلة التهيئة. يمكن للمستخدم بدء عمليات نقل متعددة دون إرسال أي منها. وسيؤكد النظام المصرفي أن حساب المستخدم لديه أموال كافية لكل تحويل. إذا لم يتم إجراء تحقق إضافي في وقت الإرسال الفعلي، يمكن للمستخدم إرسال كافة الحركات وتجاوز رصيده.

أمثلة من هجوم على العودة

داو هاك

وقد وقع أشهر مثال على هجوم العودة إلى الداخل في عام 2016 عندما تم أختراق "منظمة إيثر الذاتية الذاتية اللامركزية" مقابل 60 مليون دولار في "إيثر". وبالنسبة لهؤلاء غير المعروفين، كان مكتب المحاسبة في شركة Ethereum مشروعا مصمما للعمل كشركة رأسمال مشاريع يديرها المستثمر حيث يستطيع أعضاء الشبكة التصويت على مبادرات للاستثمار فيها.

جمع مكتب المحاسبة مبلغا مذهلا قدره 150 مليون دولار في واحد من أنجح مشاريع التمويل الجماعي في التاريخ. بيد أن علماء الكمبيوتر وغيرهم في المجتمع المحلي أعربوا عن قلقهم من أن يكون العقد الذكي الذي يحتفظ بالأموال عرضة لهجوم إعادة الدخول بسبب خلل متكرر في الاتصال في القانون.

ومنذ ذلك الوقت أصبح أختراق داو بمثابة نقطة تحول في تاريخ سلسلة المحارم، ليس فقط لأنه أشعل شرارة الإيثيريوم الصلبة للمطالبة بالأموال، الأمر الذي أدى إلى ولادة إيتروم الكلاسيكي في هذه العملية. وهي أيضا تجربة تعلم حقيقية لأمن سلسلة الاتصالات، حيث تمثل نقاط ضعف إعادة الدخول نقطة دخول قياسية لأي مراجعة مهنية ذكية للعقود.

بروتوكول Lendf.me

وقد أستخدم أحد المخترقين هجوما لإعادة الدخول في 18 أبريل/نيسان 2020، لسرقة 25 مليون دولار من بروتوكول Lendf.me، وهو بروتوكول مالي قائم على تشفير مصمم لدعم عمليات الإقراض على منصة Ethereum. وقد استغل المهاجم عيبا في منصة ليندف.me يسمح باستخدام الرموز المميزة ERC777 - وهي معيار من Ethereum للتفاعلات الأكثر تعقيدا عند تداول الرموز المميزة - كضمان. فشل المطورون في ملاحظة أن الرموز المميزة ERC777 تتضمن دالة رد الاتصال التي تنبه المستخدمين عند إرسال الأموال أو تلقيها. بإمكان المخترقين إستغلال هذا المعيار المأمون من ناحية أخرى مع هجمات متطورة لإعادة الدخول من خلال جعل المتلقي عقدا ذكيا، مما يستنزف منصة "ليندف.مي" التي تتألف من 99.5 بالمائة من تمويلها.

طرق ممكنة لمنع هجمات العودة

أولا، تحتاج إلى مراجعة العقود الذكية من طرف ثالث يتم إجراؤها على مشروعك. هذه الخطوة هي واحدة من الأكثر فعالية. كما يجب على المطورين الذين يسعون إلى الدفاع ضد هجمات إعادة الدخول أن ينتبهوا جيدا إلى بنية الرمز الخاص بهم، خاصة حول أي عقد ذكي يحتوي على وظائف الاستدعاء. وفي كثير من الأحيان، إذا تبين من مراجعة حسابات العقود الذكية أن المشروع معرض لهجوم إعادة الدخول، فإنها تنصح بإعادة هيكلة الرمز لتحديث الأرصدة قبل إرسال الأموال. وإلا، فقد يقترحون إستخدام وظيفة مختلفة لتحويل الأموال.

على المطورين في مجال NFT والصناعة السلسة أن ينجزوا لعبتهم من حيث الأمن وألا يأخذوا أي فرصة على بنية شفرتهم، التي يمكن أن تدفع المشروع بأكمله إلى الأسفل. كان أومني محظوظا هذه المرة. لقد سرق المخترق أموال الاختبارات الداخلية فقط ولم يكن يملك أصولا قيمة هذه المرة.

الكاتب: مراقب Gate.io: إم. أولاتونجي

إخلاء المسؤولية:

* لا تمثل هذه المادة سوى آراء المراقبين ولا تشكل أي اقتراحات إستثمارية.

*يحتفظ Gate.io بكافة الحقوق في هذه المادة. سيتم السماح بإعادة نشر المادة بشرط الإشارة إلى Gate.io. وفي جميع الحالات الأخرى، ستتخذ الإجراءات القانونية بسبب انتهاك حقوق التأليف.